5月第2週までのまとめ(FreeIPA, Likewise の使い分け)

FreeIPA. Likewiseについて一通り試して見たので、ここで使い方をまとめておく。筆者の独断と偏見によるものなので、内容の判断は自己責任でお願いします。

まず、FreeIPAだが、LDAPスキーマUnix寄りである関係上、基本的にはUnix周りで使うことになる。筆者が試してみたところ、Fedora 10, CentOS5.3, 3.9, OpenSUSE 11.1 で認証統合が実現できた。 ここで、認証統合は、
- GNOMEの画面からFreeIPAのパスワードでログインできる
- SSHによりパスワード無しでログインできる
- SSH X Forwarding を使って、GUI画面にもパスワード無しでログインできる
とした。最終的にsshd_config の設定でパスワード認証をオフにしても、GSSAPIだけでログインできたので、セキュリティ的にもよさそうである。また、pam_wheelによるsuユーザーの制限も可能だった。NFS4とも連携したかったのだが、何故か認証無しでもNFSが使用できてしまった ww ので、これは今後の課題ということにした。

残念だったのはOpenSolarisから認証ができなかったことだ。どうもldapの設定が上手く入っていない。FreeIPAのドキュメントでは、LDAPの設定は /etc/ldap.conf で設定となっていたのだが、ldapclient というコマンドを使う必要があるらしく、スキーマの変換が上手くいっていないらしい。こちらも今後の課題である。なお、Solaris 8,9,10 については開発側でテストは行ったようだが、OpenSolarisについてはまだ行っていないらしい。


FreeIPAの使いどころとしては、Linuxの認証統合ということに尽きる。サーバーだけに使っても十分便利だが、クライアントPCをLinuxとする場合には、FreeIPAでディレクトリを作るのが一つの手といえるだろう。( Likewiseを使う場合にはWindows Server 側のCALが必要となり、価格が上がってしまうため。 ) まだ製品版としては発売されていないが、今後が楽しみなソフトウェアといえそうだ。




Likewiseについては、事前にActiveDirectoryの準備を行う必要があるが、Windows, Linuxを同時に管理できるので、この点ではFreeIPAより使いやすい。筆者はUbuntu9.04, Windows7 RC をWindows Server 2008(評価版)のADに追加してみたが、認証、ファイルサービス共に問題なく動いた。


使い方としては、WindowsLinuxの認証統合全般といえるだろう。クライアント側に使うのが主だと思うが、サーバー(Linux, Windows)の認証を管理するのも悪くないと思う。ただし、Linux 側で wheelグループなどの管理が出来るかは試していない ww 。

Red Hatでは、Red Hat Exchangeを通してRHELと合わせて購入できそうだ。日本で同様のサービスを行っているかは分からないのだが、Linux PCの導入を考えているなら1つの案となるだろう。


まとめ:
- Linuxのみが対象なら価格面、機能面から FreeIPA
- Windows, Linux の統合なら機能面からLikewise