Ubuntu 22.04の新しいActive Directory統合機能(パート3) – 特権管理
by jiashiuan on 28 June 2022
LinuxとActive Directory(AD)の統合は、長い歴史の中でも特に企業ユーザーから要望の大きかった機能です。Ubuntu Desktop 22.04では、新しいActive DirectoryクライアントとしてADsysを採用しました。このブログ記事は、新機能を詳細にご紹介するシリーズのパート3です。(パート1 – はじめに、パート2 – グループポリシーオブジェクト)
LinuxとActive Directory(AD)の統合は、長い歴史の中でも特に企業ユーザーから要望の大きかった機能です。Ubuntu Desktop 22.04では、新しいActive DirectoryクライアントとしてADsysを採用しました。このブログ記事は、新機能を詳細にご紹介するシリーズのパート3です。(パート1 – はじめに、パート2 – グループポリシーオブジェクト)
最新のVerizonデータ漏洩/侵害調査報告書によれば、認証情報の漏洩とフィッシングがサイバー攻撃の原因の70%以上を占めています。したがってユーザー管理は、企業の攻撃対象領域を縮小する上で極めて重要です。この記事では、ユーザーがUbuntu搭載マシンに対して持つ特権をActive Directoryで管理し、制限する方法に注目します。
WindowsシステムとLinuxシステムではユーザー管理の実行方法に大きな違いがありますが、ADsysではIT管理者のユーザー体験をできるだけ現行のWindowsマシンに近づけるよう努めました。
Linuxでのユーザー管理
ADsysの新しい機能について考える前に、Ubuntuにおけるユーザーのタイプと、オペレーティングシステムで特権を管理する方法について理解する必要があります。
Ubuntuのユーザーには3種類あります。
- スーパーユーザー(rootユーザー):高い権限を持つLinuxシステムの管理者。rootユーザーは許可なしであらゆるコマンドを実行できます。Ubuntuにもrootユーザーがありますが、デフォルトで無効化されています。
- システムユーザー:インストールしたソフトウェアやアプリケーションによって作成されるユーザー。たとえばApache Kafkaをシステムにインストールすると、アプリケーション特有のタスクを実行するためにApache Kafkaが「Apache」という名前のユーザーアカウントを作成します。
- ノーマルユーザー:ユーザーが使用する権限の限られたアカウント。
ノーマルユーザーはsudoを使用してプログラムを実行できます。管理特権を行使できるのは一般にrootユーザーのみです。
開発者の生産性とセキュリティのバランスを保つには、IT管理者が、マシンに対して特権コマンドを実行できるユーザー群を統一して定義することが重要です。この目的を果たすのに不可欠な手段が(新しい機能の主な目的でもありますが)、ローカル管理者を削除し、Active Directoryのグループメンバーシップに基づいて管理権限を有効化する機能でした。
Active DirectoryでUbuntuユーザーを管理
Active Directory管理センター
このブログシリーズのパート2に書いたように、まずはADsysコマンドラインで生成した、またはGitHubリポジトリプロジェクト上にある管理テンプレートをActive Directoryにインポートする必要があります。これを実行すると、特権管理設定が、Active Directory管理センターの [コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [Ubuntu] > [クライアント管理] > [特権認可] にあるグローバル適用のマシンポリシーとなります。
デフォルトで、ローカルのsudoグループのメンバーはマシンの管理者です。ローカルユーザー設定が「無効」に設定されている場合、sudoグループのメンバーはクライアントの管理者と見なされません。つまり有効なActive Directoryユーザーのみマシンにログインできます。
同様に、管理者特権を特定のActive Directoryユーザーやグループ、またはその組み合わせに付与することも可能です。複数のマシンの管理者を安全に管理するには、グループの使用が必須です。これにより、特権アクセス審査の対象がメンバーシップから1人または少数のActive Directoryグループに減ります。
その他のリソースと新しい機能の利用方法
このブログ記事に記載されている機能は、すべてのUbuntuユーザーに無償で提供されていますが、権限の管理とリモートスクリプトの実行にはUbuntu Advantageのサブスクリプションが必要です。Ubuntu SSOアカウントを使用すれば、個人向けの無償ライセンスも取得できます。ADSysは、20.04.2 LTS以降のUbuntuでサポートされ、Windows Server 2019でテスト済みです。
CanonicalはこのほどActive Directory統合ホワイトペーパーを更新し、新しい機能を最大限に活用していただくための実用的な手順を追加しました。ADsysの仕組みについて詳しくは、Githubの該当ページまたは製品説明書をご参照ください。
Ubuntu Desktop、Ubuntu Advantage、または最新のActive Directory統合機能の詳細は、お問い合わせの上、アドバイザーにニーズをお聞かせください。
ニュースレターのサインアップ
関連記事
新しいマスコットの「戴冠式」:Noble Numbat(高貴なるナンバット)
人気投票、神の意志、剣を授ける湖の乙女など何で選ばれたにしても、王座につくのはたいてい名高い者や高貴な生まれの者です。20周年の前日にUbuntu 24.04 LTSのマスコットとしてNoble Numbatを発表できることをうれしく思います。 貧しい生まれ オーストラリアに生息する小さくて地味な有袋類のナンバット(フクロアリクイ)に、高貴というイメージはないかもしれません。しかし、見た目に騙されてはなりません。絶滅が危惧されるこの不思議な動物は、実はポケットサイズのアリクイ。自身の体長の3分の1もある舌でアリだけ食べて生活しています。背中には王様のローブのような黒と白の縞模様があり、西オーストラリア州の動物の紋章に選ばれています。ナンバットは、貧しい生まれの者が世界に足 […]
CanonicalがUbuntu 14.04 LTS以降の長期サポートを12年間に延長
Canonicalは本日、Ubuntu ProアドオンとしてLegacy Supportの一般提供を発表しました。これによりUbuntu LTSリリースのセキュリティ更新とサポート期間が12年間に延長されます。アドオンの対象はUbuntu 14.04 LTS以降です。 長期サポートのUbuntuリリースには、mainリポジトリに対する5年間のセキュリティメンテナンスが標準で付属します。Ubuntu Proは、mainリポジトリとuniverseリポジトリの両方に10年間のメンテナンスを提供し、企業にもエンドユーザーにも安全なオープンソースソフトウェアを幅広く提供します。このサブスクリプションは電話およびチケットによるサポートも含みます。Ubuntu Proの有償契約者のお […]
IoTデバイス管理の簡素化:Ubuntu CoreデバイスをLandscapeに追加する方法
Landscapeは、ほぼCanonicalの設立当初から製品リストに存在します。管理者はLandscapeにより、単一の集中型ポータルからデスクトップとサーバーのインスタンスを管理できます。Landscape Serverの最新リリース(23.10)では、Landscapeでsnapパッケージを管理する機能が導入されました。また、CanonicalのSnap Storeで入手できるLandscape Client snapパッケージのベータ版では、Ubuntu CoreベースのデバイスをLandscape環境に追加できます。 Landscapeは、組織のUbuntu環境全体にわたるリモートのフリート管理サービスを提供し、ソフトウェアのバージョンと設定の管理、セキュリティ […]