¶ Active Directory Domain Services(AD DS)
¶ 🧭 このページについて
Active Directory Domain Services(AD DS)は、Windows 環境における
認証・認可を担う中核基盤である。
ユーザー、コンピューター、グループなどのオブジェクト情報を
ディレクトリとして一元管理し、ドメイン全体で統一された認証を提供する。
本ページでは、AD DS の役割と基本構造、
そしてログオン時に実際に行われている認証の流れを整理する。
¶ 📌 1. AD DS の役割
AD DS は以下の機能を提供する。
- 👤 ユーザー / コンピューター管理
- 🔑 ドメイン認証(Kerberos / NTLM)
- 🛡 グループによるアクセス制御
- 🖥 GPO(Group Policy)による設定管理
- 🔎 ディレクトリ検索(LDAP)
これらの情報は NTDS.dit データベースに保存され、
ドメインコントローラー間でレプリケーションされる。
¶ 🌐 2. ドメインコントローラー(DC)
AD DS を提供するサーバーを ドメインコントローラー(DC) と呼ぶ。
DC は以下の役割を担う。
- ユーザー認証
- ディレクトリ情報管理
- GPO配布
- LDAP通信
- Kerberos KDC
複数の DC を配置することで
マルチマスター型レプリケーションにより冗長性を確保する。
¶ 🔑 3. Kerberos 認証
Active Directory の標準認証方式は Kerberos である。
ユーザーがログオンする際、
クライアントはドメインコントローラーに対して認証要求を行い、
チケットを利用してアクセスを行う。
Kerberos は以下の特徴を持つ。
- パスワードを直接送信しない
- チケット方式で認証を行う
- 時刻同期を前提とする
¶ 🗺 Kerberos 認証フロー
この流れにより、ユーザーは一度ログオンすると
パスワードを再入力することなくドメイン内サービスへアクセスできる。
¶ 🌐 4. LDAP
LDAP(Lightweight Directory Access Protocol)は、
ディレクトリ情報へアクセスするための通信プロトコルである。
主に以下の用途で利用される。
- ユーザー検索
- グループ情報取得
- アプリケーション認証連携
- ディレクトリ情報取得
LDAP の標準ポートは次の通り。
- TCP 389(LDAP)
- TCP 636(LDAPS)
¶ 🔐 5. LDAPS
LDAP 通信は標準では暗号化されない。
そのため本環境では
LDAPS(LDAP over TLS) を利用して通信を暗号化する。
LDAPS は以下を提供する。
- 🔐 通信の暗号化
- 🛡 通信改ざん検知
- 🪪 サーバー真正性確認
LDAPS を利用するためには
ドメインコントローラーに証明書が必要である。
本環境では AD CS により証明書を発行する。
¶ 🔎 AD と LDAP の違い
| 項目 | Active Directory | LDAP |
|---|---|---|
| 種類 | ディレクトリサービス | 通信プロトコル |
| 提供元 | Microsoft | IETF |
| 認証 | Kerberos / NTLM | なし |
| データ管理 | NTDS.dit | なし |
LDAP は AD にアクセスするための通信手段である。
¶ 🧭 6. 本環境の設計方針
本環境では以下の方針で AD DS を構成する。
- Kerberos 認証を標準とする
- LDAP 通信は原則 LDAPS を利用する
- 証明書は AD CS により内部発行する
- ドメインコントローラーは複数台構成とする
¶ 📎 関連ページ
- Active Directory Certificate Services
- LDAPS
- AD基盤アーキテクチャ設計書
AD DS は本環境における 認証の中核基盤である。