• ベストアンサー

認証の一元管理

クライアントは全てWindowsですが、サーバがWindows 2000 ServerとSolarisサーバの混在です。現在はWindowsのユーザ認証を行っていますが、UNIX環境の認証(NIS)とアカウントやパスワードの同期をとらせ、一元管理する場合は、やはり、Service for UNIXやLDAP、Kerberosを利用する方法しかないのでしょうか。すいませんが、アドバイスください。

noname#198285
noname#198285

質問者が選んだベストアンサー

  • ベストアンサー
  • nta
  • ベストアンサー率78% (1525/1942)
回答No.1

 パスワード同期という点についてだけいえば、SFU以外の方法は知らないのですが。  SFUを使うと認証をWindows 2000 Serverで行い、ドメインのパスワードが変更になったとき、UNIXのパスワードを更新することは可能です。しかしその逆はできません。  ADSIからはActiveDirectoryのパスワードの変更は可能ですが、Unixのパスワードの変更はどうするのでしょう。 http://www.users.gr.jp/developer/asp/faq/adsi.asp Sambaをドメインコントローラとして、認証を担当させることはできますが、Windows側のパスワードのためにADSIを使うとすれば平文のパスワードを使うプログラムが作られるためにセキュリティ上の問題が発生します。  一通り考えてみましたが現在のセキュリティを維持するにはSFUしかないと思います。

noname#198285
質問者

お礼

遅くなりました。アドバイスありがとうございます。上記回答で問題ありません。というのも、UNIX側ではパスワード変更はせず、ADのパスワードが正しくUNIX側へ移ればOKです。ADはあくまでWindows環境のドメインログオン用で、UNIX側はsendmail用の認証に使用したかっただけでした。ありがとうございました。

  1. カテゴリ
  2. インターネット・Webサービス
  3. その他(インターネット・Webサービス)

関連するQ&A

  • ldapでLinux、Win混在環境で一元管理

    サーバはcentOS6.3です。 クライアントに、 ・CentOS6.3が10台 ・Windows7が 10台 あります。 これをLDAPでユーザを一元管理したいと考えています。 当初は下記構成で構築しようとしたのですが、無理だということを知りました。 <構成1> クライアント(CentOS) → OpenLDAP(CentOSサーバ) クライアントWindows7ーーーーーー↑ 下記構成で、WindowsはSambaサーバを中継すると、 Linux、Windowsクライアントのユーザの一元管理ができるのでしょうか? <構成2> クライアント(CentOS) → OpenLDAP(CentOSサーバ)                      ↑ クライアントWindows7ーーー→Samabaーーー| WindowsとLinuxクライアントが混在する環境で、 ユーザの一元管理はできるのでしょうか? ご教授お願いします。

  • LDAP認証について質問させて下さい。

    LDAP認証について質問させて下さい。 環境は以下の通りです。 OS:Solaris10 LDAP:sun java system directory server 6.3 現在、LDAPサーバ自身のOS認証にLDAPサーバ(自分自身)を使用することを 考えているのですが、そのような構成は可能なのでしょうか? マニュアルを見てもよくわからず質問させて頂きました。 不可能な場合は、その理由も教えていただけるとありがたいです。 また、LDAPサーバ上に、sybaseとsambaをインストールして、 ユーザ認証をLDAPで行おうかと考えているのですが、そのような構成も可能なのか 教えていただけたら幸いです。 よろしくお願いします。 以上です。

  • SQL Serverの認証方法について

    SQL Serverについて学習中です。 認証方法の違いについてご教示ください。 SQL Serverには「Windows認証」と「SQL Server認証」の二つの認証方法があるところまでは理解したのですが、ネット検索や手元の資料をみても具体的なものが見えてきません。 (1)「Windows認証」でSQL Serverに接続するには: クライアントPCのWindowsアカウント名/パスワードが、SQL ServerがインストールされているPCに登録されているWindowsのユーザー名/パスワードと一致している必要がある。(一致していても、SQL Serverの設定で接続を拒否されていると接続できない) (2)「SQL Server認証」でSQL Serverに接続するには: SQL Serverの「ログイン」(←Windowsのアカウントではない)に登録されているユーザー名/パスワードと一致すれば、クライアントPCのWindowsアカウントのユーザー名/パスワードが何であっても、データベースに接続できる。 認証方法の違いについては、上記このような理解でよいのでしょうか?? しかし実際には「SQL Server認証」を選択すると、SQL Serverのユーザー名/パスワードだけでなく、Windowsアカウント名/パスワードも一致していないと接続できないように思えます。 つまり 「Windows認証」は「Windows認証だけ」で 「SQL Server認証」は「Windows認証 + SQL Server認証」(両方一致しないといけない) なのではないかという気がしています。 VBやVC#等でローカルアプリを作って複数で使用したいのですが、クライアントPCのアカウント名まで管理するのは厄介です。XPパソコンをAdministratorで使用している人がたくさんいて、Windows認証をクリアできないからです。 クライアントPCのアカウント名やパスワードに関係なく、SQL Serverに登録されたユーザー名/パスワードだけで接続するには、どうしたらよいのでしょうか? よくわかっていないので、よくわからない質問になってしまっていると思いますが、よろしくお願いします。 質問の意味がわからないところは補足しますので、ご指摘ください。

  • LDAPのユーザー認証について

    本やいろんなサイトを回ったんですが いまいち理解できてないので質問します。 RedHatLinux9をインストールした LDAPサーバー(S)とLDAPクライアント(C)と2台あります。 LDAPクライアント(C)の認証をLDAPサーバー(S)側で行おうと思っているんですが、ここがよく理解できてません。 LDAPクライアント(C)にログインする時に、LDAPサーバー(S)でしか設定していないユーザーだと、入れないですよね?まずホームディレクトリが存在しませんし。かといってホームディレクトリ作っても、LDAPクライアント側にはそのユーザーはいないのでchownでオーナーの指定ができませんよね? となるとやはりサーバー&クライアント両方に同じユーザーを作る必要があるんでしょうか? あたりまえ過ぎる質問かもしれませんが わからないんです。よろしくお願いします

  • LDAP認証によるPfoftpdについて

    Solaris10で、OpenLDAPとProftpdとSun付属のLDAPクライアントで構成された環境で、Windowsから、FFFTPを使ってLDAP認証でログインさせようとしているんですが、うまく行きません。また、Proftpdをinetから起動させているんですが、再起動すると状態がメンテナンスの状態で、オンラインになりません。 Windowsから、SSHを使ってLDAPユーザでログインはできます。教えていたら幸いです。よろしくお願いします。 Proftpd.conf AuthPAM off LDAPServer "192.168.24.52" LDAPAuthBinds on LDAPDNInfo dc=solaristest,dc=com LDAPDoAuth on "ou=People,dc=solaristest,dc=com" LDAPDoGIDLookups on "ou=Group,dc=solaristest,dc=com" LDAPDoUIDLookups on "ou=People,dc=solaristest,dc=com" /etc/nsswitch.conf hosts files ldap svcs -a | grep ftp maintenance 2:09:32 svc:/network/ftp:default Proftpd.log Dec 25 02:07:44 solaris proftpd[1102] solaris (loghost[192.168.24.51]): FTP session opened. Dec 25 02:07:46 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: pr_ldap_connect(): bind as cn=Manager,dc=solaristest,dc=com failed: Server is unwilling to perform Dec 25 02:07:46 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: ldap_handle_getgroups(): LDAP search failed: Bad parameter to an ldap routine Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: pr_ldap_connect(): bind as cn=Manager,dc=solaristest,dc=com failed: Server is unwilling to perform Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: ldap_handle_getgroups(): LDAP search failed: Bad parameter to an ldap routine Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): mod_ldap/2.8.20-20090124: pr_ldap_user_lookup(): LDAP search failed: Bad parameter to an ldap routine Dec 25 02:07:48 solaris proftpd[1102] solaris (loghost[192.168.24.51]): USER hoge: no such user found from loghost [192.168.24.51] to 192.168.24.52:21 Dec 25 02:07:49 solaris proftpd[1102] solaris (loghost[192.168.24.51]): FTP session closed

  • nisサービスなしでアカウント管理

    今まで、研究科の各研究室のユーザ情報やネットワークに関するファイルを一元管理することが学科のNISサーバで提供してくれましたが、3月に中止の予定があり、各研究室が自分で管理する事になりました。私の研究室がサーバ一つにあって、あと端末が4つあります。OSはSolaris2.6です。NISサービスがなしでアカウントなどの管理が設定がどうやったらいいか、教えてください。

  • SFU3.5単体でNISサーバーを利用できるのでしょうか

    現在はSolarisにNISサーバーを構築して運用しているのですが、リプレイスのついでに、ADとユーザー管理を一括で行えないかテスト環境を構築しています。 ユーザーは認識され正常に動作するように見えたのですが、ADのパスワードと同じものでログオンできませんでした。構築手順は下記の通りです。 1.新規インストールで、Windows 2003 Server SP2にADを構築。 2.Service for UNIX 3.5 をインストール。 3.ユーザーとグループを作成し、GUI画面で各々UNIX用の項目入力 4.Redhat Entarprise Linux 4でNISクライアントの設定。サーバーにADのマシン名を入力 5.ログイン時、ADに登録したパスワードではログインできない。 ただし、rootから「su - ユーザー名」でユーザー切り替えおよび、ホームディレクトリへの移動は可能。ypcatで、情報を取得できるがパスワード部分がABCD!efg~~と全員同じになっている。 以上のような状況です。 WEB情報を確認するとSFUとNISのパスワードの同期する方法などが掲載されていましたが、ADサーバーと別にNISサーバーを構築しなければ共通パスワードでのログインはできないのでしょうか?可能であればADサーバー単体でNISサーバーの機能を利用できればと考えております。

  • FileMaker Serverの外部認証について

    FileMaker Serverの外部認証を使って、OS X ServerのOpen Directoryでクライアントアクセスの認証を行いたいのですが、上手く行かず困っています。 全くチンプンカンプンの状態だったのですが、マニュアルを見ながら行った操作を記載すると・・・ まず、FileMakerで作成したデータベースを外部認証が可能なように設定し直してホストさせました。 FileMakerアカウントでのアクセスは可能であることを確認。 FileMaker Serverのディレクトリサービスタブに、以下のように入力。 ディレクトリサーバー名:「サーバーのIPアドレス」 識別名:空欄 オプション情報:全て空欄 ログイン設定:Windows認証~は、チェック無し 匿名ログイン としました。 上の設定もなにか致命的に間違っている気がしてなりません。 というか、この設定の意味が分かっていません。 上手く登録出来ていれば、クライアント側のFileMakerで 「LDAPで一覧表示されるホスト」 に表示されるのではないかと思うのですが、待てど暮らせど出てこないので恐らく設定が上手く行っていないのだと思います。 どなたかこの設定方法が分かる方教えていただけませんでしょうか? ちなみにLDAPでの認証自体は、ドメインにログオンする際など正常に機能しています。 OS X Server側で何かLDAPの設定をしなければならないのでしょうか? それとも やはりFileMaker Serverの設定がおかしいのでしょうか? どうぞ、よろしくお願いいたします。

  • 認証と承認の仕組みについて

    現在、認証と承認の仕組みに興味を持っており、色々と調べているところなのですが、イマイチ具体的に理解できないので質問させていただきます。 そもそも、認証はIDとパスワード等の組み合わせが正しいか、そうでないのか、で、本人であるかどうかを確認するプロセスのことだと理解しています。 承認は、認証されたユーザに対して、どの様な権限が与えられているのか、また、その与えられた権限を承認するのが、承認のプロセスだと理解しています。 それぞれ、認証と承認は別々のサービスとして存在する(例えば、認証はKerberos認証やNTLM認証、承認はLDAPやActiveDirectory)と認識しています。 ここで疑問なのですが、認証されたユーザと、そのユーザが持っている権限はどのように・どうやって関連づけられているのでしょうか? 例えば、 認証サーバAを設置し、LDAPやActiveDirectoryなどのディレクトリサービスを提供するサーバBを設置し、何らかのサービスを提供しているサーバCを設置している様な環境で、Cにログインするための認証を認証サーバAに問い合わせ、そのサービスに対する権限情報をサーバBから取得し、やっと、サーバCのサービスが利用できる、といった様な流れになるのでしょうか? また、認証サーバAはどうやって、問い合わせのあったサービスを利用する権限をそのユーザが持っていて、またどの程度の権限がある、と言う様な判断はどうやって行われているのでしょうか。 よろしくお願い申し上げます。

  • PHPでの認証方法

    お世話になります。 現在PHP言語でのActive Directoryへの認証を考えています。 KADM5関数やLDAP関数等を使用するらしい事は分かったのですけれども、使い方がよく分からなくて困っています。 例えば、 サーバー名が「server01」 ドメインが「d01」 ユーザーアカウント「user01」 パスワードが「abc」 の認証を、直接WEBページのフォームからユーザーIDと パスワードを入れて、認証が出来ます基本的な例文などがございましたら、教えていただけましたらと思っています。 また、できましたら、パスワードの期限がきました時の変更などもweb上で、できましたらと思っています。 よろしくお願いいたします。

    • 締切済み
    • PHP

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する