Just another WordPress site

TAKUMA ENGINEERING

未分類

Active Directoryサーバの信頼関係構築について

投稿日:

 

■信頼関係構築とは

 

通常あるドメイン(aaa.com)に所属するユーザが異なるドメイン(bbb.com)にあるファイルサーバやサービスを利用することはできません。

しかし、aaa.comとbbb.comとの間に信頼関係が確立されていると、bbb.comはaaa.comに所属するユーザからのアクセスを許可します。

 

信頼関係を確立するためには下記の要素が必要です。

 

  • 信頼関係を確立したい相手のドメイン名
  • 信頼関係を確立したいDNSサーバのアドレス
  • 双方のドメインコントローラ(ADサーバー)でポートの通信が行えること
  • 信頼関係の方式(一方向または双方向)

 

信頼関係の構築はアクセスできるユーザを細かく指定できますが、細かく指定するほど管理が煩雑になるため注意が必要です。

 

■ドメインコントローラとは

 

ドメインコントローラとは、Windowsネットワークにおけるコンピュータやユーザのログオン認証を行うためのドメイン情報を一元管理するサーバです。ドメインコントローラは「Active Directoryの役割をインストールしたサーバ」のことであり、Active Directoryは「ドメインの機能を中心とするマイクロソフトが提供する機能群」のことです。この部分はよく混同されがちなので念のため記載します。

 

ドメインコントローラの役割は下記のとおりです。

 

  • ドメインで利用する各種データ(ユーザ名やパスワードなど)を保存しデータベースにする(ディレクトリデータベース)。Active DirectoryではディレクトリサービスとしてLDAPを採用している。
  • ユーザ名とパスワードを照合する機能(認証機能)、ユーザがアクセスできる範囲を確認する機能(承認機能)。認証機能と承認機能はドメイン内の「Kerberos」(ケルベロス)という機能が担当している。
  • グループポリシーによるユーザ・コンピュータを制御する機能。クライアントPCにグループポリシーを設定することで、何かグループポリシーに設定変更を加えた際に自動的にグループポリシーを設定したPCにその設定が反映されることになる。

 

■信頼方向とは

 

信頼関係には、信頼する側(出力方向)と信頼される側(入力方向)があります。

aaa.comがbbb.comを信頼する場合、bbb.comはaaa.comのファイル参照権限を与えていることになります。しかし、この設定の場合bbb.comはaaa.comを信頼しているわけではないため、aaa.comがbbb.comのファイルを参照しようとすると拒否されてしまいます。

 

また、信頼関係には推移性があります。

これはある親ドメイン(aaa.com)が子ドメイン(aaa2.com)と双方向に信頼関係を結んでいるとき、aaa.comがbbb.comを信頼すると、同時にaaa2.comがbbb.comを信頼するようになります。これによりbbb.comはaaa.comとaaa2.comの両ドメイン内のファイルを参照できるようになります。

 

 

■参照資料

 

Active Directoryの信頼関係を知る

http://blog.serverworks.co.jp/tech/2017/11/14/active-directory-trust-relationship/

 

Active Directory 信頼関係の構成

https://miya1beginner.com/active-directory-%E4%BF%A1%E9%A0%BC%E9%96%A2%E4%BF%82%E3%81%AE%E6%A7%8B%E6%88%90

 

ドメインコントローラーの役割とは

http://www.atmarkit.co.jp/ait/articles/1405/26/news024.html

 

Windows Server 2016 で Active Directoryを習得する。導入と設定手順を紹介

https://www.rem-system.com/win2016-adsetup/

-未分類

Copyright© TAKUMA ENGINEERING , 2019 All Rights Reserved Powered by AFFINGER4.