マイクロソフトは8月30日,システム管理者向けイベント「TechEd 2006 Yokohama」で,Active DirectoryなどのID・アクセス管理製品のロードマップを説明した。次期サーバーOS「Longhorn Server」におけるActive Directoryの機能強化点や,社内で使用するデジタル証明書やスマート・カード(ICカード)を管理する「Certificate Lifecycle Manager」を2007年前半に出荷することなどを明らかにした。
Longhorn ServerのActive Directoryには,「リード・オンリー・ドメイン・コントローラ(RODC)」という機能が追加される。Windows 2000 Serverで初めて搭載されたActive Directoryは,ドメイン・コントローラのマルチ・マスター構成が基本であり,すべてのドメイン・コントローラが対等な関係であった。そのため,物理的セキュリティの確保が難しい支店などにはドメイン・コントローラを設置しづらかったし,「支店に置いたドメイン・コントローラに対する誤操作が,全社(フォレスト全体)に悪影響を与える恐れがあった」(マイクロソフトシステムテクノロジー本部の新津啓司氏)。
Longhorn Serverで追加されるRODCは,その名の通り,ハブ(中心)となるドメイン・コントローラのデータをコピーするだけで,アカウント情報の追加や更新ができない認証専用(読み取り専用)のドメイン・コントローラである。「Windows NTドメイン時代のBDC(バックアップ・ドメイン・コントローラ)の役割に近い」(新津氏)ものだ。
RODCへのパッチ適用といった管理作業は,RODCのローカルの管理者権限(local administrator)があれば実行できる。「従来は,散在するドメイン・コントローラを管理するために,多くの社員にドメインの管理者権限(Domain Admin)が与えられているケースが多く,セキュリティ上の問題になっていた」(新津氏)。
RODCのセキュリティは,Longhorn Serverの新機能「Server Core」と組み合わせることで,さらに強化できる。Server Coreは,サーバー機能を最小限しかインストールせずにサーバーをセットアップする機能である。GUIすらインストールしないことも可能。RODCにドメイン・コントローラ関連の機能しかインストールしないようにすることで,ぜい弱性が生じる範囲を制限できる。また,Longhorn Serverの「BitLocker」というブート・ドライブを暗号化する機能とServer Coreを組み合わせれば,物理的盗難に強いドメイン・コントローラを構成できる。
メタディレクトリ製品「MIIS」は2007年上半期にSP2
セッションではほかにも,メタディレクトリ製品「Microsoft Identity Integration Server(MIIS) 2003」や,デジタル証明書やスマート・カードの管理製品「Certificate Lifecycle Manager」に関する情報がアップデートされた。
MIISは,複数のID管理システム(ディレクトリ)のデータを同期させるソフトウエアである。Active DirectoryやOracle/Notesのディレクトリを簡単に同期できる。MIIS 2003は2007年上半期に「Service Pack 2(SP2)」がリリースされ,SQL Server 2005やVisual Studio 2005に対応するほか,SAPやOracle 10gにも対応する。MIISの次期バージョン(Longhorn Serverと同時期に出荷)では,ユーザーが自分でパスワードのリセットや設定変更ができるようになる「セルフ・サービス」機能が搭載される。
Certificate Lifecycle Managerは,電子証明書やスマート・カードの展開,管理,削除などの「ライフサイクル」を一元管理するソフトウエア。2006年2月に「ベータ1」がリリースされ,「ベータ2」は2006年下半期にリリースされる予定。製品の出荷は2007年上半期である。この製品を使うと,どのユーザーにどの証明書を発行したかを調べたり,ユーザーに発行した証明書を無効にしたりする際の,ユーザーや証明書の検索などが容易になる。
