マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター

マイクロソフトが提供するディレクトリサービスマイクロソフトが提供するディレクトリサービスマイクロソフト株式会社 SAP/Microsoft コンピテンスセンター

Agenda • はじめに • ディレクトリサービスとは？ • Active Directory とは？ • Active Directory がもたらすソリューション • 認証 • データ管理、ソフトウエア配布、設定管理、ネットワーク管理 • 複数ディレクトリサービスの統合と連携 • 基本的な考え方 • Active Directory を中心にするケース • Microsoft Metadirectory Service (MMS) を中心にするケース • まとめ • Backup (Active Directoryのアーキテクチャと導入) • 4.0 から 2000 での変更 • マイクロソフト社内事例 • 2000から .NET での変更

はじめに・ディレクトリサービスとは？・Active Directory とは？

② データベースを検索 ④ 目的の電話番号を知る ③ 電話番号を入手ディレクトリとは？ディレクトリサービスとは？ • ディレクトリ = 住所録、電話帳 • ディレクトリサービス = 電話番号案内 ① 104番に問い合わせ電話番号のデータベースユーザーオペレーター

データベース ネットワークメール OS 各サービスに散在するディレクトリ • 問題点 • 混在する情報と管理方式アプリケーション

Directory ディレクトリの統合と一元管理ユーザー情報メール情報ネットワーク情報ＯＳ情報データベース設定情報ハードウェア情報アプリケーション情報

Active Directory 概念図 • Windows クライアント • 管理プロファイル • ネットワーク情報 • ポリシー • Windows サーバー • 管理プロファイル • ネットワーク情報 • サービス • プリンタ • ファイル共有 • ポリシー • Windows ユーザー • ユーザー情報 • 権限 • プロファイル • ポリシー • ネットワーク機器 • 設定 • QoSポリシー • セキュリティポリシー • ユーザー/リソース • セキュリティ • 委任 • ポリシー Active Directory • 他の NOS • ユーザー • セキュリティ • ポリシー • Firewall サービス • 設定 • セキュリティポリシー • VPNポリシー • E-Mail サーバー • メールボックス情報 • アドレス帳 • アプリケーション • サーバー設定 • シングルサインオン • アプリケーション個別のディレクトリ情報 • ポリシー Internet

Active Directory のソリューション（１）・認証

Windows 2000 における認証方式 • Kerberos バージョン 5 認証 • Windows 2000 ネットワークのデフォルト認証 • MIT(マサチューセッツ工科大学)において開発 • Active Directoryをセキュリティアカウントデータベースとして使用 • X.509証明書認証 • 公開鍵方式の認証プロトコルとして採用 • Secure Sockets Layer (SSL)/ Transport Layer Security (TLS)用/IP Security等で使用 • Intranet 環境でのシングルログオンを実現 • Kerberos 認証済みクライアント • Windows NT LAN Manager (NTLM) 認証 • Windows NT 4.0のデフォルト認証 • 下位レベル(Windows9x, NT4.0など)の互換性維持

ユーザー Kerberos による認証の仕組み（ログオン時 : 1/3） ②チケット（TGT）の発行 Active Directory ドメインコントローラ(KDC) ①ログオン要求

2.チケット発行 Kerberos による認証の仕組み（リソースへの初回アクセス時: 2/3） TGT ドメインコントローラ(Active Directory) 1.リソースを利用したい Kerberos対応アプリケーション ST 3.これがチケット・Windows ファイル共有・Windows プリンタ・IIS Web サイト・Exchange Server ・SQL Server ・SharePoint ポータルサイト・対応アプリケーションユーザー ST 4.様々なリソース ST: Session Ticket リソース

・・・ Kerberos による認証の仕組み（リソースへのアクセス2回目以降 : 3/3） • ネットワーク負荷の軽減ドメインコントローラ(Active Directory) Kerberos対応アプリケーション 1.これがチケット・Windows ファイル共有・Windows プリンタ・IIS Web サイト・Exchange Server ・SQL Server ・SharePoint ポータルサイト・対応アプリケーションユーザー ST ST: Session Ticket リソース

Kerberos による認証の利点 • NTLM 認証の問題点を解決 • 認証のパフォーマンスを向上 • クライアント、サーバー間の相互認証 • 暗号化されセキュアなチケットの受け渡し • ドメイン間の信頼関係を効率よく構築できる

Win2k & SAP WAS シングルサインオン • 「Windows 2000 の Kerberos 認証を利用した SAP WebAS へのシングルサインオン設定手順書」 • Service Marketplace よりダウンロード • 手順は以下の通り • セントラルインスタンスの準備 • ファイル gsskrb5.dll の確認 • インスタンスプロファイルの調整 (トランザクションRZ10) • SAP フロントエンドの設定 • SAPSSO.msi の実行（インストール） • SAP logon のシングルサインオンオプションを有効化 • Win2000 ユーザーを SAP ユーザーにマッピング • トランザクションコードSU01

Kerberos シングルサインオン ドメインコントローラ(Active Directory) Kerberos対応アプリケーション R/3 Enterprise ・Windowsファイル共有・Windowsプリンタ・IIS Webサイト・Exchange Server ・SQL Server ・SharePoint ポータルサイト・対応アプリケーション・SAP Web-AS ・SAP Enterprise Portal ユーザー ST

サーバ証明書 ユーザ証明書クライアント ※ X.509証明書による認証（SSL、Web サーバ）認証局（Verisign, SAP Trust center など) ※Windows2000 の証明書サービスを用いて（Certificate Server）自前で構築してもよい 1. ユーザ証明書発行 1.サーバ証明書発行 Internet 3. 証明書をユーザーにマッピングしてユーザーを特定 HTTP with SSL/TLS Active Directory Web サーバドメインコントローラ 2. Webサーバアクセス時はお互いの証明書を提示して相手を確認

※ X.509証明書認証の利点と注意点 • 利点 • 事前の共通鍵の交換が必要ない • 誰でも公開鍵を手に入れることが可能 • 様々な活用分野 • 暗号化データ通信 : SSL • 暗号化メールの利用 : S/MIME • 暗号化ファイルシステム : EFS • 暗号化リモートアクセス認証 : EAP • 手軽で堅牢なログオン : スマートカード • 注意点 • 公開鍵の配布の問題 • 公開鍵の正当性を証明する必要 • 秘密鍵の管理 • 共通鍵に比べ処理に時間がかかる

※ スマートカードによるユーザー認証 • スマートカード • ユーザー側の認証にカードという物理的なデバイスを要求 • 記憶素子の中に証明書や秘密鍵をセキュアに格納 • カードからキーを取り出す事は不可能 • パスワードでなく PIN 番号を入力させる • ユーザー名／パスワードの認証よりも安全 • 入力は PIN No. だけなので、利用者にはより便利 • スマートカード対応アプリケーション • Windowsログオン • Web 認証(SSL) • 暗号化メール(S/MIME) • スマートカード対応アプリケーション（の開発）

ユーザー Cert Cert ※ スマートカードによるユーザー認証～ Active Directory へのログオン 2チケット（TGT）の発行 Reader SC AD DC/KDC 1.ログオン要求 AD: Active Directory

サーバ証明書 ユーザ証明書ユーザ証明書クライアント ※ スマートカードによるユーザー認証～ HTTPS サーバへのアクセス認証局（Verisign, SAP Trust center) ※Windows2000 の証明書サービスを用いて（Certificate Server）自前で構築してもよい 1. ユーザ証明書発行 1.サーバ証明書発行 Internet Reader 3. 証明書をユーザーにマッピングしてユーザーを特定 HTTP with SSL/TLS Active Directory Web サーバドメインコントローラ 2. Webサーバアクセス時はお互いの証明書を提示して相手を確認

Active Directory のソリューション（２）・データ管理・ソフトウエア配布・設定管理・ネットワーク管理

グループポリシー設定により 共有フォルダを参照するように設定 PCを移動グループポリシー設定により共有フォルダを参照するように設定ユーザーデータの管理ファイルサーバーの共有フォルダデスクトップ上の「マイドキュメント」フォルダ PC1 User: A PC2 ユーザーは利用するPCによらず常に自分のデータを利用可能 User: A

Active Directory に設定を格納 ドメイン,組織単位に設定可能グループポリシー機能の利用インストールサービスとの統合 OSのソフトウェアインストールの機能を利用 (Windows Installer) インストール、アンインストール、修復、ロールバック、アップグレードをサポート 1.シェアポイント作成 .MSI File 2.グループポリシーにインストール設定パッケージ 6.インストール開始 (Windows Installer) Active Directory 3.ログオン 5.アプリケーションの起動 4.ポリシー適用ユーザー、コンピュータへのソフトウェア配布アプリケーションシェアポイント管理者インストール完了利用者

リモート OS インストレーションのメリット 新規 PC への OS 展開 OS + アプリケーションの展開 PC 故障時の復元ユーザーデータも含めて故障前の環境が復元されるリモートブート NIC ROM またはリモートブートフロッピーから起動 DHCP サーバーリモートインストールサーバー 3.リモートブートプロセス Active Directory 1.PCの故障 2.他の PC からリモートブートリモート OS インストレーショングループポリシー & ユーザーデータ & OS/アプリケーションイメージ 4.リモートインストール復元リモートブートクライアント

Active Directory ユーザー、コンピュータの設定管理 • グループポリシーによるデスクトップ環境管理 • デスクトップ環境を集中管理 • ローミングユーザーサポート • 全てのプロファイル情報をサーバーに格納 • ユーザーデータ／ユーザー固有の設定情報ポリシーの例 • 許可されたアプリケーションだけ実行 • コントロールパネルを隠す • シャットダウンを無効にする • プリンタの削除を無効 • ネットワーク全体を非表示 • レジストリ編集の禁止ポリシーの適用ユーザー設定の格納/復元ログオンログオン管理者が設定したポリシーが適用されるユーザー固有の設定情報がサーバーに格納されるグループポリシーユーザープロファイルどの PC にログオンしても管理者が設定したポリシーが適用されユーザー固有の設定情報が復元される

Directory-Enable Network ネットワークの有効利用を目的にネットワーク機器がディレクトリ情報を利用する仕組みユーザー単位のネットワーク帯域制御アプリケーション単位のネットワーク帯域制御ネットワーク機器の設定情報の集中管理 Active Directory ネットワーク帯域制御無駄なネットワークトラフィックを極力排除 →レスポンスタイムの改善

ファイアーウォール ファイアーウォール Active Directory 動的なファイアーウォール構成ユーザ1; HTTP FTP ユーザ2; Telnet POP SMTP ユーザ3; LDAP Http FTP • Active Directory 内の情報を利用してファイアーウォールサーバーが動的にオープンポートを構成 • ファイアーウォールサーバーなどの設定情報を中央で一元管理ユーザ1; HTTP FTP ユーザ2; Telnet POP SMTP ユーザ3; LDAP Http FTP

複数ディレクトリサービスの統合と連携・基本的な考え方・Active Directoryを中心にするケース・MMS (Microsoft Metadirectory Service)を中心にするケース

複数ディレクトリサービス環境の問題 • 複数のユーザーアカウントとパスワード • 利用するリソース毎に異なるオペレーション • 全ディレクトリの情報が同期されるまで、ビジネス上のつじつまが合わないユーザー • 複数ディレクトリのメンテナンス作業負荷大 • ディレクトリ間での情報の一貫性維持が難 • 組織の変化(合併、再編等)のスピードにシステムが追随できない TCO の増大生産性の著しい低下アプリケーションの複雑化管理者 • ディレクトリ毎に異なるAPI • アクセス制御ロジックは独自に開発要 • 本来のビジネスロジック自体の開発以外に留意する事項が増大開発者

問題解決への短期的、長期的取組み 複数ディレクトリ環境の問題 TCO の増大生産性の著しい低下アプリケーションの複雑化 1. 問題解決への短期的な取り組みディレクトリサービス数削減にむけた緩やかな移行 2. 問題解決への長期的な取り組みグローバルなディレクトリサービスへの収束 TCOの削減、生産性の向上、ビジネスアプリケーションの容易な開発

マルチディレクトリアクセス コネクタによる同期 Directory アプリケーションアプリケーション DirectoryAccessInterface Directory ツール API ハブ&スポークアーキテクチャ Directory コネクタ Directory Directory ERP 人事システムアプリケーション LDAPプロキシインタフェース Meta-Directory DB DB アプリケーションブローカエンジン LDAPインタフェース NOS その他メタデータブローカエンジンメタデータ Directory Directory Directory Database Flat File 考えられるアプローチ理想アプリケーション Directory 理想に到達するために、経過措置として講じる複数のテクニック

ハブ&スポークアーキテクチャ ERP 人事システムアプリケーション SQL Server DB DB MMS NOS Windows2000 メタデータ Directory ActiveDirectory マイクロソフトが推し進めるアプローチ理想マルチディレクトリアクセスアプリケーション NT ADSI ActiveDirectory Active Directory アプリケーション &スクリプト NDS LDAP コネクタによる同期アプリケーションアプリケーション ADCMSDSSetc… ActiveDirectory Exchange,NDS等 LDAPプロキシインタフェース MMS: Microsoft Metadirectory Service MSDSS: Microsoft Directory Synchronization Service (SFNW5(Service for NetWare)のコンポーネント) ADC: Active Directory Connector マイクロソフトはこの分野にフォーカスしない

Active Directory を中心とした統合・連携 Exchange 5.5 NT, AD,NDS,LDAP ＡＤＳＩ照会 / 追加更新 / 削除 Active Directory 同期 COMコンポーネント GroupWise ＡＤＳＩ Active DirectoryConnector 照会 / 追加更新 / 削除 LDAP 同期 / 移行Ｃ言語プログラム NDS orNetWare 3.xBinderies LDAP Services for Netware ver.5.0 LDAP インポート&エクスポート同期 / 移行 UNIX NIS CSVDE.EXE LDIFDE.EXE Services for Unix Ver.2.0 LDFファイル CSVファイル ※LDIF: LDAPディレクトリ一括更新に関するIETFのRFC

Active Directoryがサポートするプロトコルとインターフェース • ディレクトリサービスプロトコル • LDAP バージョン2および3をネイティブサポート • 他のLDAP互換クライアントアプリケーションによるアクセスも可能 • プログラミングインターフェース • ADSI (Active Directory Service Interface) • Visual Studio (VB,VC++）,VBScriptにて開発 • Office アプリケーションからも利用可能 • LDAP C API • インターネット標準RFC1823にて定義 • LDAPプロトコル対応のC言語によるAPI

Active DirectoryとUNIXとの統合・連携Services for UNIX 2.0 • パスワード同期 • Windowsのパスワードが変更されるとUNIXのパスワードも変更、またはその逆も可能 • ユーザー名マッピング • Active DirectoryとUNIXのユーザーアカウントをマッピング • NISサーバーおよびパスワードファイル等からマッピング可能 • NFS サーバー / クライアント / ゲートウェイ • NFSファイルシステムとWindowsディレクトリをネットワークファイルシステムとして相互接続 • NISサーバー • UNIX NISネットワークとActive Directoryの統合 • NISドメインマップをActive Directoryにインポート • Active DirectoryがNISドメインのマスターサーバーとして動作 • UNIX コマンドラインツール（60種類）

Active DirectoryとNetWareとの統合・連携Services for NetWare 5.0 • ディレクトリ同期サービス • 双方向、または一方向のディレクトリ同期 • NetWareファイルの管理と移行 • ファイル移行ユーティリティ • ディレクトリ同期サービスとの連携により、セキュリティ許可情報なども移行時に継承 • ユーザーやアカウントの移行の簡素化 • NetWare用ファイルと印刷サービスはWindows 2000 ServerをあたかもNetWareのファイル／プリントサーバーと同様に運用管理

MMS Server Microsoft Metadirectory Service (MMS)を中心とした統合・連携 Client (Winform) SOAP HTTP IIS AD DCOM AD Management Agent MMS SAP Management Agent SAP SQL 2000 (Store) Database Management Agent Oracle

Ichiro Suzuki MMSを中心としたデータフローのイメージ人事システム Metadirectory Full Name Title Employee ID Full Name Title Employee ID イチロー Full Name Title Employee ID E-mail システム Email Address Title Telephone Common Name Email Address Title Telephone Common Name ichiros Email Address Telelphone Common Name Office Location Email Address Telephone ISuzuki LDAP ディレクトリ Office Location Telephone Email address コネクタスペースメタバース (Metaverse)

MMS 2.2 • 現在の最新バージョン • 1999年 7月 ZOOMIT社の買収により併合したテクノロジーをさらに拡張 • 企業向けのアイデンティティ情報の同期・管理のための柔軟性の高いフレームワーク • US版のみ提供 • Microsoft Consulting Service (MCS) または、認定パートナー経由でのみ提供 • 製品自体は無償 • 導入事例： ICL, Katten Muchin Zavis, Pirelli

MMS 2.2 特長と課題 • 特長 • オブジェクトの作成・変更・削除 • 高い接続性 • 多種多様なマネージメントエージェント (MA) • 確実に複数システム間の一貫性を維持 • 各システムとの同期処理のステートを管理 • 複数格納先のアイデンティティ情報の一貫性維持 • アイデンティティ情報のタイムリーな更新 • 課題 • アーキテクチャ • 独自のデータ格納形式 • 独自のスクリプティング言語 • グローバライゼーションが困難

MMS 3.0の開発方針 • SQL Server 2000をデータストアに採用 • 既存のスキルと資産を生かした展開が可能 • バックアップ／リストア • リプリケーション (複製) • クラスタリングによる可用性の確保 • 各種のSQL管理ツールを利用可能 • スケーラビリティ • 完全なグローバライズ (Unicode対応) • マネジメントエージェント (MA) • 第一弾： • Active Directory, XML/File, iPlanet/LDAP • 順次提供(時期未定)： • Exchange 5.5, Lotus Notes, Relational Database, PeopleSoft, SAP

MMS ロードマップ • MMS 3.0 • Beta Release Done (10月) • Final Release Q1 2003 (予定) • MMS 3.1 (Fairbanks) • 追加のマネジメントエージェント (MA) • 先進の階層ビジュアル機能 (Polyarchy Viewer) • ローカライズ版の追加提供 • 日本語、ドイツ語、フランス語, スペイン語、イタリア語、中国語 • Final Release Q2-Q3 2003 (予定)

まとめ • Active Directoryがもたらすソリューションは数多い • 今回紹介したソリューション以外にも、VPN, IPSec, 分散ファイルシステム, ターミナルサービス, 認証局などの機能、付加価値を高める役割 • Active Directoryのアーキテクチャは日々革新 • 4.0 → 2000での大変革の後、 .NETでは‘枯れた技術’に • 可用性と拡張性が向上し、導入はさらに容易に • 複数ディレクトリサービスの統合・連携には • 現状：Active Directoryを中心にする • LDAP, ADSI, 各種コネクタを利用 • 今後：MMSを中心にした、より完成度の高い統合・連携 • フロー制御、障害管理、参照整合性、きめ細かいデータ加工 etc..

Windows Web • Windows 2000 Server • http://www.microsoft.com/japan/windows2000/ • http://www.microsoft.com/japan/windows2000/techinfo/planning/walkthroughs/default.asp (ステップバイステップガイド) • Windows .NET Server 2003 • http://www.microsoft.com/japan/windows.netserver/default.mspx

Windows スマートカードソリューション • 凸版印刷とマイクロソフトがICカード分野で協業 • http://www.microsoft.com/japan/presspass/releases/030501topp.htm • 大日本印刷とマイクロソフト、Windows for Smart Cardsをベースとしたスマートカード分野でのパートナーシップを発表 • http://www.microsoft.com/JAPAN/presspass/RELEASES/091800smar.htm

ディレクトリ連携 • Services for UNIX 2.0 • http://www.microsoft.com/japan/windows2000/sfu/sfuincluded.asp • Services for Netware 5.0 • http://www.microsoft.com/japan/windows2000/sfn/default.asp • LDAP • http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/ldap.asp • MMS 2.2 • http://www.microsoft.com/windows2000/technologies/directory/MMS/default.asp • http://www.microsoft.com/japan/windows2000/techinfo/howitworks/activedirectory/mmsintro.asp

“Windows Insider” • http://www.atmarkit.co.jp/fwin2k/ • 管理者のための Active Directory 入門 • http://www.atmarkit.co.jp/fwin2k/operation/adprimer001/adprimer001_01.html • （連載）NT管理者のためのActive Directory入門 • http://www.atmarkit.co.jp/fnetwork/rensai/ad01/ad01.html • Active Directoryが次期Windowsで飛躍的進化 • http://www.atmarkit.co.jp/fwin2k/insiderseye/20020827dotnet_ad/dotnet_ad_01.html

Active Directory 運用事例 • 株式会社東北電力様での運用レポート • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/windows2000serv/case/tohoku.asp

SAP / Microsoft Alliance Web • http://www.ms-sap.com (JPN) • http://www.microsoft-sap.com (World Wide)

It’s more than software- it’s a strategic solution!

マイクロソフト株式会社 SAP/Microsoft コンピテンスセンター