はじめに
ある日、「ADってなんですか?」と質問を受けました。そのときに、AD(Active Directory)を利用はしているが、殆ど知らなかったことに気づきました。そこで、一度自分で情報をまとめて見ようと考え、整理しようとしたのが本稿のきっかけです。
以降ではADについて自分なりに整理した結果をまとめています。また、その際に出てきたわからない単語についても簡単に説明しています。
なお本稿の目的は、「ADについて分からない人が、ふわっとした理解をする」ことを目的としています。だいぶ端折った説明になってると思いますがご了承ください。
Active Directory(AD)の特徴
Active Directory(AD)の特徴は以下のことが挙げられます。
- Windows Serverに設けられた機能
- ディレクトリサービスと呼ばれるものの1つ
- ドメインと呼ばれるユーザーがアクセスできる範囲を用いている
- SSO(シングルサインオン)を併用し、社内の各リソースのアクセスを簡単にできる
ADを利用することで、「社内のリソースを一括管理可能。また、ユーザーごとにリソースへのアクセス制御も簡単に実現可能」なため、企業では導入されているんだと思います。
例:
(前提)
Aさん・・・営業部
ファイルサーバー①、ファイルサーバー②・・・ドメインX内にある、営業部のみが触れるサーバー
ファイルサーバー③・・・ドメインX内にある、開発部のみが触れるサーバー
ファイルサーバー④・・・ドメインY内にある、営業部のみが触れるサーバー
- Aさんがファイルサーバー①にあるファイルを触ろうとする
- そのファイルサーバーは、Aさんが何者なのかを尋ねる(認証)
- Aさんは自身のIDとPWを用いて認証を突破する
- 続いて、Aさんはファイルサーバー②にあるフィアルを触ろうとする
- 既にファイルサーバー①にて認証が済んでいるので、Aさんは認証を尋ねられることなくファイルサーバー②のファイルを触れる
- 続いて、Aさんはファイルサーバー③のファイルを触ろうとする
- ファイルサーバー③は、「Aさんは営業部である」という情報を既に持っているので、アクセスを拒否する
- 続いて、Aさんはファイルサーバー④のファイルを触ろうとする
- このドメイン内ではまだ認証されていないので、再び認証を行う必要がある。
次に各単語について説明します。
ディレクトリサービス
ネットワーク内にある、サーバーやプリンタといった機器(リソース)の情報を一元管理するサービスのこと。
ドメイン
ADによる認証を一度済ませた後、その認証を利用してアクセスできる範囲のこと。
SSO
一度の認証で複数のサービスにアクセスできる仕組みのこと。例えば、Qiitaのアカウントを登録する際も、「Googleアカウントでログイン」といったように、他サービスでログインすればOKといったようなことをしてますね。
ADのメリット
管理者目線と、利用者目線で考えてみました。
管理者のメリット
-
リソースの管理が楽
一元管理できるため。会社において、各部のネットワーク管理者は自分の部の情報だけ管理すれば良くなるので管理する範囲が狭くなる。 -
アクセス制御が楽
人事情報と組み合わせると効率的に各サーバーのアクセス制御が可能。
先程の例においてAさんが営業→開発に移動した場合、人事情報さえ変更すれば各サーバーのアクセス制御は自動的によしなにしてくれる
利用者のメリット
-
認証の手間が省ける
一度認証すれば、しばらくは再認証しなくてもアクセスできるので楽 -
端末の違いを意識しなくてすむ、複数のPWを覚えなくてすむ
一つの認証情報で各リソースにアクセスできるので。またこの情報は利用端末に依存しないため
共有のPCとかからでも簡単にアクセスできる。
他にも、「配下のPC全てにセキュリティパッチをインストールできるので、セキュリティ強化ができる」等のセキュリティ観点のメリットもあるかと。
まとめ
ADを利用することで、「各リソースを一元管理できるため、管理が楽になる。また、人の異動が発生してもリソースのアクセス制御が簡単にできる。一度の認証すればよいから利用者も楽」といったように、「リソースの管理・アクセス制御が楽になる」というのがADの特徴(メリット)だと思います。