2005 年度 情報システム構成論 第 8 回 ユーザ管理と ディレクトリサービス 西尾 信彦 立命館大学 情報理工学部 情報システム学科 ユビキタス環境研究室.

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

1 会社名: 氏名: 日付: 会社名: 氏名: 日付:. 2 内容 企業のセキュリティ対策状況 ユーザー管理の重要性 ユーザー管理製品 市場状況 Active Directory とは Active Directory 利用に最低限必要な準備 ユーザー管理のご提案内容 最初の取り組み:ユーザー情報の統合管理.
Samba日本語版の設定と運用のノウハウ 応用編
Curlの特徴.
SAP 環境における Active Directory 導入のメリット
2005年度 情報システム構成論 第9回 分散ファイルシステム
ファイル共有 情報システム管理 第12回 ファイル共有 水野嘉明 情報システム管理
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
最新ファイルの提供を保証する代理FTPサーバの開発
HG/PscanServシリーズ Acrobatとなにが違うのか?
2005年度 情報システム構成論 第1回 オリエンテーション
(株)アライブネット RS事業部 企画開発G 小田 誠
2004年度 情報システム構成論 第7回 ユーザ管理とディレクトリ サービス
Samba日本語版の設定と運用のノウハウトラブルシューティング編
(株)アライブネット RS事業部 企画開発G 小田 誠
スキルチェック Unix編.
クラウドにおける ネストした仮想化を用いた 安全な帯域外リモート管理
join NASS ~つながりあうネットワーク監視システム~
UNIX Life KMSF M2 saburo.
SMART/InSightのセキュリティ機能と設計
IGD Working Committee Update
2004年度 情報システム構成論 第2回 TCP/IPネットワーク
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
CGI Programming and Web Security
Phenixサーバ クラックまとめ.
「コンピュータと情報システム」 07章 インターネットとセキュリティ
ネットワークコミュニケーション よく使われるアプリケーション DNS 7/5/07.
FreeBSD4.5環境での IPv6ネットワーク構築
「まめだくん Ver.1.0」 特徴と利用方法.
第5章 情報セキュリティ(前半) [近代科学社刊]
2004年度 情報システム構成論 第8回 分散ファイルシステム
WindowsNTによるLAN構築 ポリテクセンター秋田 情報・通信系.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
利用者が守るセキュリティー (パスワードについて)
心理学情報処理法Ⅰ コンピュータネットワーク概論.
スキルアップ.
ネストした仮想化を用いた VMの安全な帯域外リモート管理
サーバ構成と運用 ここから私林がサーバ構成と運用について話します.
UNIXについて 松野秀平.
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
2004年度 サマースクール in 稚内 JavaによるWebアプリケーション入門
SAccessor : デスクトップPCのための安全なファイルアクセス制御システム
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
Linux リテラシ 2006 第4回 ネットワーク CIS RAT.
2004年度 情報システム構成論 第1回 オリエンテーション
FreeBSDインストール 2002年4月10日.
九州大学キャンパスクラウド 利用法 情報ネットワーク特論 講義資料.
ようこそいらっしゃいました 混在環境にWindows Server がいると 何がうれしいのか? についてお話させていただきます。
ネットワークアプリケーションと セキュリティ
FUJITSU Security Solution SYNCDOT MailSuite
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
超高速基幹LANにおける 情報リテラシー教育支援システム
gate-toroku-system のしくみ
オープンソース開発支援のための リビジョン情報と電子メールの検索システム
第16章 BOOTP:ブートストラップ・プロトコル
JXTAの概要 P2P特論 (ソフトウェア特論) 第3回 /
インターネット             サーバーの種類 チーム 俺 春.
データベース設計 第7回 実用データベースの運用例 クライアント=サーバシステム(1)
サーバ・クライアントシステム ( X Window System) 2006/01/20 伊藤 和也 original: 前坂たけし
Firebaseを用いた 位置情報共有システム
Linux の世界に 触れてみよう! 情報実験 第 3 回 (2005/10/21)
第4章 データ構造 p.82 [誤] ハミルトニアン経路問題  [正] ハミルトン閉路問題 p.82,83 [誤] セールスパーソン問題
gate登録システム: 設計ポリシーから使い方まで
ユーザとグループの管理 2. ユーザとグループの管理 水野嘉明
異種セグメント端末による 分散型仮想LAN構築機構の設計と実装
SYSVOL複製 を DFS レプリケーションに移行する
gate-toroku-system のしくみ
P2P & JXTA Memo For Beginners
IPアドレス 平成14年7月9日 峯 肇史 牧之内研究室「UNIX とネットワーク基礎勉強会」Webページ
/etc/passwd, /etc/group, /etc/hosts ファイルの意味
Presentation transcript:

2005 年度 情報システム構成論 第 8 回 ユーザ管理と ディレクトリサービス 西尾 信彦 立命館大学 情報理工学部 情報システム学科 ユビキタス環境研究室

Unix 系サーバ ユーザ管理の基本 アカウント+グループ – 権限制御はアカウント・グループ単位 – 複数人で共同で作業する場合、同一グルー プに入れて、共同作業用ディレクトリを作 成する ファイルによる制御 –/etc/passwd ユーザ情報格納ファイル –/etc/group グループ情報格納ファイル

Unix 系ユーザ管理の基本属性 ユーザ情報 – ユーザ名 – ユーザ ID – プライマリグループ名 –GECOS 情報 ( いわゆるコメント ) – ホームディレクトリ – ログインシェル – パスワード /etc/passwd: nishio:x:505:502:Nobuhiko Nishio:/home/nishio:/bin/bash apache:x:48:48:Apache:/var/www:/sbin/nologin

Unix 系サーバ ユーザ管理の基本 特権ユーザ: root – 管理者 – すべてのことができるため、 root でログインしているときは 操作に注意が必要 サービス用ユーザ – 特殊な権限を保持 – ログインができないものが大多数 ( パスワード不明:シェルが nologin,etc) – 代表例: www(Linux では apache の場合が多い ) ftp 一般ユーザ – 普通のユーザ

Unix 系サーバ ユーザ運用の基本 root での作業は極力行わない – 事故防止のため – 必要時でも root に移行せず、 sudo/su を使う root に移行できるユーザを限定する – 権限奪取阻止目的 –Operator グループ –/etc/ttys での制約も可能 サービス用ユーザでのログインは禁止する – サービスを利用しての攻撃に対する予防 – サービス誤作動時の予防措置

ディレクトリサービス 複数のホストでユーザ情報を共有できる ユーザ管理の設定が散在せず、ユーザ管理の コストが削減できる ユーザ以外のものも管理可能 – ホスト情報 – 分散ファイル管理情報 – 最近ではユーザの位置情報 代表的なユーザディレクトリ –NIS –NIS+ –LDAP –Active Directory

NIS(Network Information Service) –Sun Microsystems 社が作成したディレクトリサー ビス – もともとは Sun Yellow Pages (YP) Yellow Pages が英国 British Telecom 社の登録商標だっ たため利用できなくなり、改名 サーバのファイル名やコマンド名などに名残がある –ypserver (NIS のサーバ ) –yppasswd – 代表的なディレクトリサービス –Unix 系であれば、ほぼ実装ずみ

NIS の動作原理 NIS 独自にドメインを定義してそれ単位での管理 同一ドメイン内に複数のサーバを設置することも 可能 – マスターサーバ、スレーブサーバ – スレーブサーバはマスターサーバのコピー – すべてのクライアントの要求がマスターサーバを利用す ると、 負荷に耐えられないため、大規模なシステムの場合は スレーブサーバを利用する – マスターサーバの変更が随時スレーブサーバにコピーさ れる サブネットを含むドメインは利用できない – バグではなく、仕様 (Sun 談 ) – サブネットを越えて動作しないのは group 情報だけ ( 本当に仕様? )

NIS の利点欠点 利点 – ほとんどの Unix 系 OS が対応 – 導入が簡単 – 文献が豊富 欠点 – サブネットを越えて動作しない – セキュリティ上の問題がある 通信内容が暗号化されない クライアント認証がアドレス制限以外にない –Unix 系用であるため、他の系統の OS 、サービス間 で併用しにくい

NIS+ (Network Information Service (Plus)) –Sun Microsystems 社が NIS の後継として、 作成したディレクトリサービス – セキュリティが強化されている 通信経路が暗号化されている クライアント認証あり – 大きな システムを導入するのに向いて いる –Linux 上の NIS+ には多数のバグが残存 –NIS+ の開発は終了 ( 中止 ) されている

NIS+ の利点欠点 利点 –NIS に比べて安全 通信経路が暗号化されている –NIS の欠点が解消されている 欠点 – ネットワーク負荷が高い – 管理が複雑 大問題:バグが多い –NIS+ を大規模に使うと原因不明のシステムダウンや、 ネットワークの帯域幅を食い潰す等の現象が複数の団体 で確認されている

X.500 シリーズ ITU-T(International Telecommunication Union-Telecommunication sector) が定めた、 ネットワーク上での分散ディレクトリ サービスに関する規格 世界で統一したネームサービスが利用 可能であり、データ検索が安易に行え る 規格であるため、さまざまな実装が存 在 – システムの規模によって、導入するソフト が選択可能

X.500 シリーズ 勧告番号規定内容 X.500 ディレクトリの概説 X.501 ディレクトリのモデ ル X.509 認証 X.511 抽象サービス X.518 分散操作 X.519 プロトコル (DAP) X.520 属性 X.521 オブジェクトクラス

X.500 シリーズのモデル 機能モデル – ディレクトリサービスを提供するための機能をモ デル化し,そのインタフェースを定義 組織モデル – ディレクトリを複数の管理組織に分割して管理し ている場合のモデルを説明 安全保護モデル – ディレクトリに管理されている情報の機密保持に ついての方針を説明 情報モデル – ディレクトリに格納される情報の構造と,情報を ディレクトリに格納する方法を規定

X.500 シリーズ 情報モデル ある情報の集合体を エントリと呼ぶ 例: ユーザ情報エントリの 場合 – 1ユーザ情報内の属性 ユーザ名 ユーザ ID ホームディレクトリ Etc

X.500 シリーズの識別名モデル 表現例: CN=test,OU=ubi,OU=is,O=ritsumei,O=ac,C=jp

DAP( Directory Access Protocol ) X.500 用アクセスプロトコル 全部入りのプロトコルであるため複雑 複雑であるがゆえに重い TCP/IP 用に開発されていなかったため ( 国際電話を実現するため ) 、 TCP/IP との 相性が悪くインターネット上で利用し にくい

LDAP (Lightweight Directory Access Protocol) 軽量 DAP –DAP から使われない機能を削除 –TCP/IP 上でもストレスなく動くように設計 LDAP v2 – 独自に分散化機能を持たず、分散化を X.500 に頼っている 大規模システムでは LDAP 単体での運用が難しい – セキュリティに問題がある 認証時にパスワードが平文で流れる LDAPv3 – 分散化に対応 – セキュリティの強化 – 大規模なシステムでも LDAP 単体で運用可能 プロトコルであるため、実装は多種多様

LDAP 情報モデル 図の挿入

LDAP の利点欠点 利点 – プロトコルであるため、実装に依存しない – 必要なレベルによって LDAP ソフトを選べる 商用 LDAP サーバからオープンソースまで –X.500 と連携しなくても、スタンドアロンで運用 が可能 欠点 ( ? ) – 特殊なディレクトリサービスに変われるものでは ない DNS 、 NFS 、 etc –jpeg などを格納することもできるが、本来意図し ない利用法であり、行うべきではない

LDAP 適用事例 Unix 系ホストの NIS に変えての運用が可 能 –MacOS X などで NIS gateway を利用した運用 が可能 –Windows のレジストリのような運用が可能 MacOS X の NetInfo –NIS の欠点の克服 暗号化など Windows のレジストリや ActiveDirectory

Active Directory Windows2000 から導入されたディレクトリサー ビス 物理的制約にとらわれず、論理単位で管理 代表的なプロトコルをサポート – 名前解決用: DNS – 検索用: LDAP – 認証用: Kerberos 独自拡張されているため、相互運用時には注意が必要 ライセンス上の問題で、導入するには Windows 2000 Server が必要

ディレクトリサービスのまとめ 複数のホストで情報を統一的に提供すること を目的としている ディレクトリサービスの利点 – 情報が一箇所に集まるため、管理、操作、整合性 保持が安易 ディレクトリサービスの欠点 – ディレクトリサービス提供サーバが故障してしま うと、全システムが利用できなくなってしまう – ディレクトリサービス提供サーバがクラックされ ると全データが流れてしまう