2    Advanced Server ドメイン

各 ASU サーバは,Windows ドメインに属し,そのドメイン内で役割を果たします。Windows ドメインとは,ドメイン内のすべてのセキュリティ,ユーザ・アカウント,およびグループ情報が格納されている共通のディレクトリ・データベースを共有する Advanced Server のグループをいいます。Advanced Server には,ASU サーバ,Windows NT サーバまたは Windows 2000 サーバが使用できます。このディレクトリ・データベースは,他の Advanced Server および Windows NT のマニュアルでは,セキュリティ・アカウント・マネージャ (SAM) データベースと呼ぶことがあります。

この章では,次の項目について説明します。

ASU ソフトウェアをインストールする方法およびドメインに ASU サーバを構成する方法については,『Advanced Server for UNIX インストレーション/管理ガイド』を参照してください。

2.1    ドメイン・ロール

Advanced Server のドメイン・ロールは,どの Advanced Server がディレクトリ・データベースを維持管理し,どの Advanced Server がディレクトリ・データベースのコピーを受け取るかを決定します。各 Advanced Server は,ドメイン内で次のいずれかの役割を果たしています。

2.2    共通ドメイン・モデル

ドメインを適切に設計して構成すると,ネットワーク管理を簡略化できると同時に,ユーザがネットワーク全体の共有に接続できるようになります。ドメイン・モデルには次の 2 つのタイプがあります。

2.2.1    保護ドメイン・モデル

信頼関係には次の 2 種類があります。

保護ドメイン・モデルには次の 2 種類があります。

これらの各ドメイン・モデルでは,次の 2 種類のドメインを作成できます。

資源ドメインからマスタ・ドメインへの一方向の信頼関係を作成します。ユーザはマスタ・ドメインにログオンすると,一方向の信頼関係があるため,アクセスが許可されたリソース・ドメイン内にある,すべてのディスク共有およびプリンタ共有にアクセスできます。

2.2.1.1    シングル・マスタ・ドメイン・モデル

図 2-1 はシングル・マスタ・ドメイン・モデルで,すべてのユーザ・アカウントが Personnel (人事部) というマスタ・ドメイン内に作成されています。すべての共有は,Marketing (マーケティング部),Sales (販売部),および Production (製造部) という資源ドメイン内に作成されています。

図 2-1:  シングル・マスタ・ドメイン・モデル

すべてのドメイン・ユーザ・アカウントがマスタ・ドメインにあり,各資源ドメインはマスタ・ドメインを信頼するので,すべてのユーザ・アカウントはアクセスが許可された,どの資源ドメイン内の共有も使用できます。

シングル・マスタ・ドメイン・モデルには,次の機能があります。

2.2.1.2    マルチ・マスタ・ドメイン・モデル

マルチ・マスタ・ドメイン・モデルではシングル・ドメイン・モデルと同様に,マスタ・ドメインにドメイン・ユーザ・アカウントを作成し,資源ドメインには共有を作成します。このモデルでは,名前が示すように,複数のマスタ・ドメインが作成されます。

図 2-2 は,すべてのドメイン・ユーザ・アカウントが A_Personnel および B_Personnel という 2 つのマスタ・ドメインに作成されたマルチ・マスタ・ドメイン・モデルを示しています。すべての共有は,South_Sales,South_Marketing,North_Sales,および North_Marketing という資源ドメインに作成されています。

図 2-2:  マルチ・マスタ・ドメイン・モデル

ドメイン・ユーザ・アカウントがいずれかのマスタ・ドメインにあり,資源ドメインがこのマスタ・ドメインを信頼するので,すべてのユーザ・アカウントはアクセスが許可されたすべての資源ドメイン内の資源を使用することができます。

マルチ・マスタ・ドメイン・モデルは,シングル・マスタ・ドメイン・モデルのすべての機能を組み込み,さらに次のような機能にも対応しています。

2.2.2    シングル・ドメイン・モデル

ドメイン・ユーザ・アカウントと共有が同じドメインに作成されているドメイン・モデルを作成できます。つまり,ドメイン・ユーザ・アカウントと共有が同じドメイン内にあるため,信頼関係を確立する必要がない,ということです。ドメイン・ユーザが他のドメインにある共有にアクセスする必要がある場合には,各ドメインで同じユーザ名およびパスワードを持つドメイン・ユーザを作成します。ユーザ名とパスワードが一致すると,ユーザがログオンしているドメインに関係なくアクセス権が与えられます。

この規則の例外は,信頼関係が成立している場合です。2 つのドメイン間で信頼関係が確立されている場合,たとえ両方の名前とパスワードがそれぞれ同じであっても,信頼する側のドメインは,信頼される側のドメインにあるユーザと,ローカル・ドメインにあるユーザとを区別できます。

3 つのドメイン (Athens, Berlin, Cairo) があるとします。各ドメインに同じパスワードを持つユーザ・アカウント,Peter があります。Athens ドメインは Berlin ドメインを信頼していますが,これ以外の信頼関係は確立されていません。下表は,Peter が各ドメインにログオンしたときの様子を示しています。

ログオンしたドメイン アクセス可能なドメイン アクセス不可能なドメイン
Athens Athens, Berlin, Cairo  
Berlin Berlin, Cairo Athens
Cairo Athens, Berlin, Cairo  

Athens と Berlin 間の信頼関係が各ドメインへのアクセスを制限しているように見えます。実際,信頼関係のおかげでアクセスの制御が容易になっています。Athens ドメインは現在,ユーザ Athens¥Peter とユーザ Berlin¥Peter とを区別できるため,それに応じてアクセス権を与えることができます。

2.3    コンピュータ・アカウント

コンピュータ・アカウントは,ドメインに参加する各 BDC に対してディレクトリ・データベース内に自動的に作成されます。コンピュータ・アカウントは,安全な通信セッションを確立するために使用されます。

安全な通信セッションが確立されるのは,ある接続で通信しているシステムが,相手コンピュータが自分自身を正しく識別したことを確認したときです。システムは自分のコンピュータ・アカウントを使って自分を確認します。安全な通信セッションが確立されると,2 台のコンピュータ間でセッションが開始されます。

安全な通信セッションでは,次のようなことが行われます。

2.4    ドメインへのログイン

ドメインにログインするには,ユーザはドメイン内または信頼される側のドメインにドメイン・ユーザ・アカウントを持っていなければなりません。管理者は,ユーザ名とパスワードをアカウントに割り当て,ユーザ識別データを指定し,ドメインにユーザの権利を定義することで,ドメイン・ユーザ・アカウントを作成します。Advanced Server は次に,一意のセキュリティ識別子 (SID) を新しいアカウントに割り当てます。ドメイン・ユーザ・アカウントの作成についての詳細は,第 3 章を参照してください。

ユーザは,次の方法でドメインにログオンできます。

Windows コンピュータのユーザがドメインにログインしようとすると,コンピュータ上の NetLogon は,ユーザを認証できるドメイン・コントローラ上の NetLogon サービスとの間で安全な通信チャネルを探して確立します。ASU サーバが起動すると,NetLogon サービスは自動的に開始します。これらの安全な通信チャネルは,コンピュータの NetLogon サービス間でユーザ識別データを交換するのに使用されます。PDC と BDC 上の NetLogon サービスも同様に,すべての信頼される側のドメインで探そうとします。ユーザを認証できるドメイン・コントローラが見つかると,そのドメイン・コントローラが以降のユーザ・アカウント認証に使用されます。

2.4.1    対話形式のログオン認証

ユーザのローカル・システム上で,[ログオン情報] ダイアログ・ボックスから,ユーザ名,パスワード,およびドメイン名またはコンピュータ名を入力するよう要求されます。

ユーザは,[ユーザー名] フィールドおよび [パスワード] フィールドにそれぞれユーザ名とパスワードを入力します。ユーザは,ドメイン・リストからドメインまたはコンピュータ名を選択します。ドメイン・リストの内容は,コンピュータがドメインに参加しているかどうかによって異なります。リストの内容は次のようになります。

ローカルのコンピュータにログオンするときには,ユーザはローカルのコンピュータ名を選択します。コンピュータは,ローカルのディレクトリ・データベースをチェックして,指定したユーザ名およびパスワードの有無を調べます。一致する場合,ログオンは許可されます。一致しない場合には,ログオンは失敗します。

ドメインにログインするには,ユーザはドメイン名を選択します。コンピュータはドメイン名,ユーザ名,およびパスワードを,選択したドメインのドメイン・コントローラに送信します。ドメイン・コントローラはドメイン名をチェックし,次に,ユーザ名とパスワードをドメインのディレクトリ・データベースと照合して,要求を次のように処理します。

2.4.2    リモート・ログオン認証

コンピュータまたはドメインにすでにログオンしているユーザが別のコンピュータにネットワーク接続を行う場合,リモート・ログオンが行われます。ユーザが [ネットワーク ドライブの割り当て] ダイアログ・ボックスの [名前を指定して接続] ボックスに別のドメイン名またはコンピュータ名およびユーザ名を入力してアカウント情報を上書きして無効にしない限り,対話形式のログオンで使用されたアカウント情報がリモート・ログオンでも使用されます。

ユーザが,ドメイン・ユーザ・アカウントが定義されているドメインにあるコンピュータとネットワーク接続を行う場合,ログオンはユーザがリモート・コンピュータ上のアカウントを使用して接続しているのと同じように進行します。リモート・コンピュータは,ログオン・クレデンシャルをそのディレクトリ・データベースと照合して認証します。アカウントがディレクトリ・データベースに定義されていない場合でも,パスワードなしの Guest アカウントが有効になっている場合には,ユーザは Guest 特権でログオンします。Guest アカウントが有効でない場合,ログオンは失敗します。Guest アカウントについての詳細は,第 3 章を参照してください。

別のユーザと区別するためにドメイン・ユーザ・アカウントを作成していた場合は,ドメイン ユーザー マネージャなどの管理画面上では,ユーザ名の前にドメイン名を付けることをお勧めします。たとえば,Sales ドメインのユーザ JohnL は,Sales¥JohnL として表します。この名前により,Engineering¥JohnL など別のドメインにいる別の JohnL と区別できます。

2.4.3    キャッシュされたログオン情報

ユーザがある特定のコンピュータから初めてドメイン・アカウントにログオンすると,ドメイン・コントローラは,認証済みのログオン情報を (ディレクトリ・データベースから) コンピュータにダウンロードします。このダウンロード情報は,コンピュータのキャッシュに書き込まれます。以降のログオンでは,ドメイン・コントローラが利用できないとき,ユーザはキャッシュに書き込まれたログオン情報を使用してドメインにログオンできます。

Windows NT Server および Windows NT Workstation が動作しているコンピュータでは,対話形式でログオンした最近のユーザ (省略時の設定では 10人) を認証するために使用した情報が格納されます。ローカル・コンピュータにログオンするユーザのアカウント情報も,そのコンピュータのローカルなディレクトリ・データベースに格納されます。

2.5    ドメインの管理

ドメインの管理には次の処理が含まれます。

2.5.1    ディレクトリ・データベースの同期化

PDC は自動的に,一定の間隔で BDC に対し PDC からのディレクトリ・データベースの変更内容を要求するように通知を送信します。この通知時間はずらしてあるため,すべての BDC は必ずしも同時に変更内容を要求するわけではありません。BDC が変更内容を要求する場合,BDC が最後に受け取った変更内容を PDC に通知します。このため,PDC はどの BDC が変更を必要としているかを常に把握しています。BDC が最新である場合には,BDC は変更を要求しません。

2.5.1.1    ディレクトリ・データベースの変更

ディレクトリ・データベースの変更には,新規パスワードの設定や既存のパスワードの変更,またはユーザ・アカウントとグループの新規作成と変更,およびグループのメンバシップとユーザ権利の変更があります。

ディレクトリ・データベースの変更内容は,変更ログに記録されます。変更ログは約 2000 の変更内容を保持しています。保持可能な変更数は,変更ログのサイズによって決まります。ログがいっぱいのとき,新しい変更が追加されると,最も古い変更が削除されます。BDC が変更内容を要求すると,最後に同期がとられた時点以降の変更内容が BDC にコピーされます。BDC が一定の間隔で変更内容を要求しなければ,ディレクトリ・データベース全体を BDC にコピーしなければならなくなります。たとえば,BDC が長期間オフラインになっていた場合,その期間の変更数が,変更ログに格納できる量を超えてしまうことがあります。

2.5.1.2    完全同期化および部分同期化

ディレクトリ・データベース全体を BDC に複製することを,完全同期化と呼びます。完全同期化は,新しい BDC がドメインに追加された場合か,複製が行われる前に変更内容が変更ログから削除された場合に自動的に実行されます。NetLogon サービスの省略時の更新のタイミングおよび変更ログのサイズでは,ほとんどの動作条件で完全同期化が必要になることはありません。

BDC に対して,最後に同期がとられた時点以降に生じたディレクトリ・データベースの変更内容だけを複製することを,部分同期化と呼びます。すべての BDC または特定の BDC に部分同期化を強制的に実行することができます。たとえば,ドメインに新しいユーザを追加した場合や,ユーザのパスワードを変更する場合には,部分同期化を実行して,すべての BDC 上のディレクトリ・データベースに新しいユーザ・アカウントやパスワード変更を速やかに複製することができます。

サーバー マネージャ GUI の [コンピュータ] メニューを使用して,ディレクトリ・データベースとの同期をとることができます。使用可能なオプションは,次に示すように選択しているコンピュータの種類によって異なります。

ドメイン・コントローラを同期化する方法については,サーバー マネージャのヘルプの「バックアップ ドメイン コントローラをプライマリ ドメイン コントローラと同期させる」および「ドメインのすべてのバックアップ ドメイン コントローラを同期させる」を参照してください。

2.5.2    コントローラの昇格および降格

ソフトウェアのアップグレードや他の保守操作などの理由で PDC が使用できない場合があります。

ドメインが 1 つの PDC だけで構成される場合,それが使用不能になると,ユーザはログインできません。ドメインが 1 つの PDC と複数の BDC から構成されている場合は,PDC が使用不能になっても,ユーザはドメインにログインできます。ただし,ユーザは PDC 上にある資源にアクセスできず,また,ユーザ・アカウントを作成したり変更したりすることはできません。これは,マスタ・ディレクトリ・データベースが PDC 上だけにあるためです。

PDC が使用不能になっても,ドメインに BDC が 1 つ存在する場合は,BDC を PDC に昇格できます。BDC を PDC に昇格させると,ドメインのディレクトリ・データベースの最新コピーは,古い PDC から新しい PDC に複製され,古い PDC は BDC に降格されます。

BDC を PDC に昇格させて,以前の PDC のサービスが復旧した場合,以前の PDC を BDC に降格させなければなりません。以前の PDC が BDC に降格するまで,NetLogon サービスを実行したりユーザ・ログオンの認証に参加したりすることはできなくなり,[サーバー マネージャ] ウィンドウのアイコンは選択不可になります。

BDC を昇格してはじめて,PDC を別のドメインに移動できます。ASU サーバを別のドメインに移動するには,joindomain コマンドを使用します。 詳細については, joindomain(8) を参照してください。

注意

通常,BDC が PDC に昇格すると,システムは自動的に以前の PDC を BDC に降格します。しかし,サーバー マネージャが PDC を見つけることができない場合には,PDC は降格されず,ユーザはこの状態を示すメッセージを受け取ります。この場合,PDC を降格させずに作業を進めるか,PDC が降格されるまで待機するかのいずれかを選択できます。

詳細は,サーバー マネージャのヘルプの「バックアップ ドメイン コントローラをプライマリ ドメイン コントローラに昇格させる」および「プライマリ ドメイン コントローラをバックアップ ドメイン コントローラに降格させる」を参照してください。

2.5.3    ドメインのセキュリティの原則の管理

ASU のセキュリティの原則の設定によって,ドメイン・コントローラ上,ワークステーション上,およびメンバ・サーバ上のドメイン・ユーザ・アクションにさまざまなレベルのセキュリティを設定できます。ドメインを設計する際には,ドメインのセキュリティの原則を検討しておく必要があります。

ドメインを管理する場合,セキュリティの原則はドメイン内の PDC と BDC に適用されます (同じセキュリティの原則を共有します)。メンバ・サーバとして動作しているコンピュータを管理する場合,セキュリティの原則はそのコンピュータだけに適用されます。

次のセキュリティの原則を定義できます。

2.5.3.1    ドメイン・ユーザ・アカウントの原則

ドメイン・ユーザ・アカウントの原則では,コンピュータやドメインのすべてのユーザ・アカウントで,パスワードを使用する方法を制御するとともに,アカウント・ロックアウトの原則を決定します。アカウントの原則への変更は,コンピュータまたはドメイン上のすべてのドメイン・ユーザ・アカウントに対して,次回のログオン時から有効になります。表 2-1 は,設定できるドメイン・ユーザ・アカウントの原則のオプションを説明しています。

表 2-1:  ドメイン・ユーザ・アカウントの原則のオプション

オプション 説明

パスワードの有効期間

システムから変更を要求されるまで,ユーザがパスワードを使用できる期間。

パスワードの変更禁止期間

変更が許可されるまで,ユーザが同じパスワードを使用しなければならない期間。

パスワードの長さ

パスワードの最小文字数。

パスワードの一意性

以前使用していたパスワードが再使用できるようになるまでに,ユーザ・アカウントで使用しなければならない新しいパスワードの数。

ログオン失敗--回後にロックアウトする

アカウントをロックさせる不正なログオンの試みの回数。範囲は 1 〜 999。

ロックされたアカウントは,管理者がロックを解除するまで,または [ロックアウト期間] オプションによって指定された時間が過ぎるまでロックされたままになる。

カウンタを--分後にリセットする

任意の 2 度の不正なログオンの試みを発生させることができる最大間隔 (分単位)。範囲は 1 〜 99999。

たとえば,[ログオン失敗--回後にロックアウトする] の指定が 5 回,[カウンタを--分後にリセットする] の指定が 30 分になっている場合,29 分ずつの間隔で 5 回不正なログオンを試みると,アカウントはロックアウトされる。

ロックアウト期間

[無期限] を選択した場合は,管理者がロックを解除するまでアカウントはロックされ,[期間] を選択した場合は,指定した時間 (分単位),アカウントはロックされる。

ログオン時間を超過したリモート ユーザーを強制に切断

[ログオン時間] オプションで設定されたログオン時間を超過したユーザ・アカウントは,ドメイン内のすべてのコントローラから切断される。 ユーザはログオン時間が切れる数分前に警告メッセージを受け取る。

このオプションを使用しない場合,ログオン時間を過ぎても接続は切断されない。ただし,新たに接続することはできなくなり,5 分ごとに警告メッセージを受け取る。

ログオン期間の設定については,3.1.1 項を参照。

パスワード変更にはログオンが必要

パスワードの有効期間が切れたときに,ユーザは自分でパスワードを変更できない。

このオプションを無効にしておくと,パスワードの有効期限が切れても,ユーザは管理者の助けなしに自分でパスワードを変更できる。

次の方法でドメイン・ユーザ・アカウントの原則のオプションを設定できます。

2.5.3.2    監査の原則

監査を行うと,ドメイン・ユーザ・アカウントの特定の操作をイベント・ログ・ファイルに記録できます。監査の原則はドメイン内のすべての PDC および BDC に適用されます。

ASU サーバでは,ユーザ・ログオンなどのシステム全体にわたるイベントから,特定のユーザによる特定のファイルの読み取りなど,さまざまなイベントを監査したり記録したりできます。イベントの実行は,成功も失敗も監査および記録ができます。表 2-2 に,監査および記録できるイベントを示します。

表 2-2:  監査イベント

イベント 説明

ログオンとログオフ

ユーザのログオンまたはログオフ,あるいはネットワークへの接続。

ファイルとオブジェクトへのアクセス

ファイル マネージャで監査対象として設定されたディレクトリまたはファイルのオープン,あるいはプリント マネージャで監査対象として設定されたプリンタへのプリント・ジョブの送信。

ユーザー権利の使用

ユーザ権利 (ログオンとログオフに関連する権利を除く) の使用。

ユーザーとグループの管理

ユーザまたはグループの作成,変更,あるいは削除。ユーザ・アカウントの名前の変更,無効化,または有効化。あるいはパスワードの設定または変更。

セキュリティ原則の変更

ユーザ権利,監査,または信頼関係の原則の変更。

イベント・ログのサイズは限られているため,ログに使用するディスク容量を検討した上,監査の対象とするイベントを慎重に選択してください。ログの最大サイズを定義するにはイベント ビューアを使用します。

次の操作によって監査の原則を設定できます。

次の操作によってログを表示させることができます。

2.5.4    信頼関係の管理

信頼関係は,集中管理の利便性をドメイン・レベルからネットワーク・レベルに拡大します。ネットワーク上のドメイン間に信頼関係を確立すると,ドメイン・ユーザ・アカウントは,アカウントが作成されたドメイン以外のドメインでも使用できるようになります。各ドメイン・ユーザ・アカウントの作成が一度だけですみ,その信頼関係を通して,そのアカウントを使って 1 つのドメイン内のコンピュータだけでなく,ネットワーク上の任意のコンピュータにアクセスできるようになります。

2.5.4.1    信頼関係の確立

2つのドメイン間に信頼関係が確立されると,信頼される側のドメインとの安全な通信が確立するので,コンピュータ・アカウントは,信頼する側のドメイン内のコンピュータで使用することができます。

信頼する側のドメインと信頼される側のドメインは双方とも,次の手順に従って信頼関係を確立する必要があります。

  1. 信頼される側のドメインで,そのドメインを信頼する側のドメインのリストに,信頼される側のドメインの名前を追加し,この信頼関係のためのパスワードを割り当てます。

  2. 信頼する側のドメインで,信頼される側のドメインのリストに,信頼される側となるドメインの名前を追加します。この操作を行うにはステップ 1 のパスワードが必要です。

注意

信頼関係に割り当てられたパスワードが信頼される側または信頼する側のドメインで変更された場合には,信頼関係は機能しません。パスワードが信頼される側または信頼する側で変更されると,信頼関係は両方とも解消および再確立されなければなりません。信頼関係を再確立した場合,信頼する側のドメインと信頼される側のドメインで一致したパスワードを再度割り当てる必要があります。

次の操作を行って,信頼関係を確立したり解除したりできます。

2.5.4.2    ドメイン ユーザー マネージャの制限

Windows 95 コンピュータ用の Windows NT Server Tools プログラム・グループに含まれているドメイン ユーザー マネージャには,信頼される側のドメインの管理に影響する制限があります。

[信頼関係] ダイアログ・ボックスを使用して別のドメインを信頼し,[ユーザーとグループの追加] ダイアログ・ボックスを使用して,信頼される側のドメイン内のユーザとグループに特権を付与するには,次のうち少なくとも 1 つの条件を満たしている必要があります。

さらに,Windows NT Server Tools プログラム・グループに含まれているドメイン ユーザー マネージャは,ドメイン間の信頼関係を検証できません。信頼関係のための正しいパスワードを確実に入力してください。Windows NT Server Tools からこの手順を実行している場合は,信頼関係が検証されないことを示すメッセージを受け取ります。