Jump to content 日本-日本語

製品  >  ソフトウェア  >  HP-UX   >  Knowledge-on-Demand  >  知っておくべきセキュリティ対策

知っておくべきセキュリティ対策
-HP-UXのセキュリティを極める-

第7回 LDAPによるアカウント統合化

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
第7回 LDAPによるアカウント統合化
HP-UXを搭載したサーバーの台数が増えてくると、アカウントの管理が懸案となる。例えば数台、数10台といったサーバーのそれぞれにユーザ・アカウント登録を行い、整合性を保持するのは大変面倒なうえ、古いアカウントの放置による脆弱性のリスクも生じる。これまでUNIX環境ではNISやNIS+による一元管理が一般的であったが、セキュリティ脆弱性の問題などから最近ではLDAP(Lightweight Directory Access Protocol)ベースのディレクトリ・サービスがアカウント統合に利用されつつある。そこで本連載の最終回となる今回は、HP-UXに備わるLDAPサーバー機能「Red Hat Directory Server」とLDAPクライアント機能「LDAP-UX」を利用したアカウント一元管理の実際を紹介する。
知っておくべきセキュリティ対策 -HP-UXのセキュリティを極める- 第7回
LDAPによるアカウント管理が主流に
LDAP-UXクライアント・サービスの構成
2008年7月
テクニカルライター 吉川和巳
ページ: 1   2   |   次へ 

LDAPによるアカウント管理が主流に

HP-UXを搭載したサーバーの台数が増えてくると、アカウントの管理が懸案となる。例えば数台、数10台といったサーバーのそれぞれにユーザ・アカウント登録を行い、整合性を保持するのは大変面倒な作業だ。とりわけ、最近ではHP Integrity VMを始めとする仮想化技術の普及にともない、管理対象となるHP-UXイメージの数も増加し、管理者にとってはアカウントの一元管理がやっかいな問題となりつつある。手間が掛かるという点もさることながら、例えば古いアカウントが削除されずに放置されるといった脆弱性を生み出す原因ともなる。

もちろん、こうしたアカウント管理はHP-UXに限ったことではない。例えばWindows環境では、Active Directoryによる一元管理が一般的だ。またHP-UXをはじめとするUNIX環境では、「NIS」や「NIS+」による一元管理が伝統的に広く利用されてきた。しかし、NIS/NIS+はセキュリティ脆弱性の問題などから、最近ではあまり使われなくなっている。

そこで近年では、NIS/NIS+に代わるアカウント管理の手段として、LDAP(Lightweight Directory Access Protocol)ベースのディレクトリ・サービスが利用されるようになった。ディレクトリ(directory)とは、住所録や電話帳を意味する。つまりディレクトリ・サービスとは、「ネットワーク上の電話帳サービス」と言えばわかりやすいだろう。具体的には、以下のような情報の保管や検索に広く用いられている。
  • ID情報(ユーザ名とパスワード、アクセス権など)
  • 社員名簿(名前、メールアドレス、電話番号、組織名など)
  • PKI(公開鍵基盤)におけるデジタル証明書
  • ネットワーク機器やアプリケーションの設定情報
  • セキュリティ・パッチ情報
LDAP対応のディレクトリ・サーバーは、「LDAPサーバー」とも呼ばれる。ディレクトリ・サービスを利用するクライアント、すなわちOSやアプリケーション、ネットワーク機器などは、このLDAPプロトコルを通じてディレクトリ・サーバーにアクセスし、図1に示すようなツリー構造に基づいて情報の検索・更新・認証を実施する。
LDAPプロトコルのツリー構造
図1:LDAPプロトコルのツリー構造

HP-UXのLDAPサポート

HP-UXは、このLDAPに対応した「サーバー」と「クライアント」の両方を標準でサポートしている。まず、LDAPサーバーとしては業界標準の商用ディレクトリ・サーバーである「Red Hat Directory Server(以下、RHDS)」を搭載する。RHDSは社内利用に限りユーザ数無制限で利用可能なほか、SSL暗号化への対応、レプリケーション機能などに対応しており、LDAPサーバーとして豊富な機能を備えつつも無償で使うことができる優れものだ。

一方、LDAPクライアントとしては、「LDAP-UX」を備える。LDAP-UXは、LDAPサーバーに接続するLDAPクライアント機能を中心として、各種の移行ツールや管理ツール、HP-UXの認証機能(PAMやNSS)のサポート、SMHとの統合、そしてNIS/LDAPゲートウェイ機能などを提供する。

この両者を活用すれば、例えばHP-UX上のLDAPサーバー(RHDS)にてアカウント情報を一元管理し、UNIX環境とWindows環境のアカウント統合も実現可能だ。そこで後半では、LDAP-UXによるLDAPクライアント機能の実際を紹介したい。
RHDSによる認証統合化の例
図2:RHDSによる認証統合化の例

連載記事一覧 ページ: 1   2   |   次へ  次のページへ

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項