Ubuntu 22.04の新しいActive Directory統合機能(パート3) – 特権管理

by jiashiuan on 28 June 2022

原典:https://ubuntu.com/blog/new-active-directory-integration-features-in-ubuntu-22-04-part-3-privilege-management

LinuxとActive Directory(AD)の統合は、長い歴史の中でも特に企業ユーザーから要望の大きかった機能です。Ubuntu Desktop 22.04では、新しいActive DirectoryクライアントとしてADsysを採用しました。このブログ記事は、新機能を詳細にご紹介するシリーズのパート3です。(パート1 – はじめにパート2 – グループポリシーオブジェクト

LinuxとActive Directory(AD)の統合は、長い歴史の中でも特に企業ユーザーから要望の大きかった機能です。Ubuntu Desktop 22.04では、新しいActive DirectoryクライアントとしてADsysを採用しました。このブログ記事は、新機能を詳細にご紹介するシリーズのパート3です。(パート1 – はじめにパート2 – グループポリシーオブジェクト

最新のVerizonデータ漏洩/侵害調査報告書によれば、認証情報の漏洩とフィッシングがサイバー攻撃の原因の70%以上を占めています。したがってユーザー管理は、企業の攻撃対象領域を縮小する上で極めて重要です。この記事では、ユーザーがUbuntu搭載マシンに対して持つ特権をActive Directoryで管理し、制限する方法に注目します。

WindowsシステムとLinuxシステムではユーザー管理の実行方法に大きな違いがありますが、ADsysではIT管理者のユーザー体験をできるだけ現行のWindowsマシンに近づけるよう努めました。

Linuxでのユーザー管理

ADsysの新しい機能について考える前に、Ubuntuにおけるユーザーのタイプと、オペレーティングシステムで特権を管理する方法について理解する必要があります。

Ubuntuのユーザーには3種類あります。

  • スーパーユーザー(rootユーザー):高い権限を持つLinuxシステムの管理者。rootユーザーは許可なしであらゆるコマンドを実行できます。Ubuntuにもrootユーザーがありますが、デフォルトで無効化されています。
  • システムユーザー:インストールしたソフトウェアやアプリケーションによって作成されるユーザー。たとえばApache Kafkaをシステムにインストールすると、アプリケーション特有のタスクを実行するためにApache Kafkaが「Apache」という名前のユーザーアカウントを作成します。
  • ノーマルユーザー:ユーザーが使用する権限の限られたアカウント。

ノーマルユーザーはsudoを使用してプログラムを実行できます。管理特権を行使できるのは一般にrootユーザーのみです。

開発者の生産性とセキュリティのバランスを保つには、IT管理者が、マシンに対して特権コマンドを実行できるユーザー群を統一して定義することが重要です。この目的を果たすのに不可欠な手段が(新しい機能の主な目的でもありますが)、ローカル管理者を削除し、Active Directoryのグループメンバーシップに基づいて管理権限を有効化する機能でした。

Active DirectoryでUbuntuユーザーを管理

Active Directory管理センター

このブログシリーズのパート2に書いたように、まずはADsysコマンドラインで生成した、またはGitHubリポジトリプロジェクト上にある管理テンプレートをActive Directoryにインポートする必要があります。これを実行すると、特権管理設定が、Active Directory管理センターの [コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Ubuntu] > [クライアント管理] > [特権認可] にあるグローバル適用のマシンポリシーとなります。

デフォルトで、ローカルのsudoグループのメンバーはマシンの管理者です。ローカルユーザー設定が「無効」に設定されている場合、sudoグループのメンバーはクライアントの管理者と見なされません。つまり有効なActive Directoryユーザーのみマシンにログインできます。

同様に、管理者特権を特定のActive Directoryユーザーやグループ、またはその組み合わせに付与することも可能です。複数のマシンの管理者を安全に管理するには、グループの使用が必須です。これにより、特権アクセス審査の対象がメンバーシップから1人または少数のActive Directoryグループに減ります。

その他のリソースと新しい機能の利用方法

このブログ記事に記載されている機能は、すべてのUbuntuユーザーに無償で提供されていますが、権限の管理とリモートスクリプトの実行にはUbuntu Advantageのサブスクリプションが必要です。Ubuntu SSOアカウントを使用すれば、個人向けの無償ライセンスも取得できます。ADSysは、20.04.2 LTS以降のUbuntuでサポートされ、Windows Server 2019でテスト済みです。

CanonicalはこのほどActive Directory統合ホワイトペーパーを更新し、新しい機能を最大限に活用していただくための実用的な手順を追加しました。ADsysの仕組みについて詳しくは、Githubの該当ページまたは製品説明書をご参照ください。

New Active Directory integration features

Ubuntu Desktop、Ubuntu Advantage、または最新のActive Directory統合機能の詳細は、お問い合わせの上、アドバイザーにニーズをお聞かせください。

ニュースレターのサインアップ

Ubuntuニュースレターの配信登録

お客様が購読登録を行われる場合、以下の条件に同意されたことになります。Canonicalのプライバシーに関するお知らせ個人情報保護ポリシー

関連記事

[ウェブセミナー] Ubuntu 22.04の新しいActive Directory統合機能

今回のトークについて Active Directory(AD)は、中規模から大規模の企業における最も一般的なユーザー/エンドポイントID管理システムです。UbuntuはAD統合機能をかなり前からサポートしていましたが、その機能はユーザー認証に限られ、Groups Policy Objectsやスクリプトなどの高度な機能は含まれませんでした。 ウェビナーを見る Ubuntu Desktop 22.04では、システム管理者の要望に応え、画期的なクライアントとしてADsysを導入しました。これには次の機能があります。 OSにネイティブに組み込んだグループポリシーオブジェクト(GPO)の全面サポート 特権アカウントとしてタスクを実行するための特権管理機能 ログオン、ログオフ、起動 […]

Canonical、Ubuntu 22.10 Kinetic Kuduを公開

IoT開発者や企業IT管理者をサポートする暫定リリース Ubuntu 22.10は本日よりhttps://ubuntu.com/downloadからダウンロードしてインストールできます。 コードネーム「Kinetic Kudu」の暫定リリースは、企業環境の開発者やIT管理者を想定して改善されています。IoTエコシステムを重視した最新のツールチェーンやアプリケーションも含みます。 CanonicalのCEOを務めるMark Shuttleworthは次のように述べています。「コネクテッドデバイスは革新の盛んな分野ですが、家庭やビジネスに新しいデジタルリスクももたらします。今回のリリースでは、新世代のIoTの使いやすさとセキュリティを重視し、Ubuntu 22.10を使用した […]

Canonical、最大5台で使用できるUbuntu Proの個人向け無料サブスクリプションを発表

Canonicalは、セキュリティメンテナンスとコンプライアンスに長期的に対応するサブスクリプションサービス「Ubuntu Pro」のデータセンター/ワークステーション向けパブリックベータ版の提供を開始しました。また、Canonicalのコミュニティを大切にする姿勢および誰でも簡単にオープンソースを利用できるようにするという理念に基づき、個人や小規模なビジネスには無料サブスクリプションを提供します。 CanonicalのCEOであるMark Shuttleworthは次のように述べています。「メインOSのセキュリティに5年間無料で対応するUbuntu LTSを発表したときから、企業のお客様から、民間商用合意に基づいてさらに幅広いオープンソース環境に対応することを求められて […]


© 2022 Canonical Ltd. Ubuntu および Canonical は、Canonical Ltd の登録商標です。