第5回 OpenDirectory：Undocumented Mac OS X（3/3 ページ）

[白山貴之，ITmedia]

Windowsの隆盛とUNIXの衰退

　盛んにもてはややされたUNIXワークステーションも、90年代初頭にWindows NTがリリースされたころから風向きが変わってきた。マルチユーザーで本格的なマルチタスクのWindows NTは、当初こそパフォーマンスの低さやバグの多さなどが目立ったが、3.5、3.51、4.0とバージョンを上げるにつれ実力を高めていき、UNIXに決して引けを取らない存在となっていった。さらにWindows NTは、ワークステーションに比べれば安価なPCで動作することや、オフィススイートも動作することもあり、急速に存在感を増していったのである。一方で、UNIX陣営ではSystem V*とOSF/1*の競争やバークレイとAT&Tの訴訟など内部的な紛争が絶えず、細かな違いが普及の足を引っ張る事態となっていた。

　90年代半ばになると、ご存じのとおりデスクトップ用途ではUNIXワークステーションではなくPCとWindowsがごく一般的になり、UNIXは安定性を求められるサーバマシンのOSとして押し込められてしまった。わずか数台のサーバと、そこにログインする少数のユーザーアカウントを管理するだけなら、NetInfoやNIS+*のような高度な機構は不要。このため、大規模ネットワークを対象としたアカウント管理のためのディレクトリサービスは急速に話題性を失っていった。

LDAP

　話は少々前後するが、1988年、ディレクトリサービスの標準としてX.500が規格化された。これは、前述のディレクトリサービスの隆盛を見越して作られた多機能なプロトコルである。しかし多機能ゆえに複雑で、実装や運用が難しいという問題があった。

　このX.500のサブセットとして、ディレクトリサービスにアクセスするための「より軽量な」プロトコルがLDAP*だ。先に説明したとおり、この時代はネットワーク管理のためのディレクトリサービスの登場が期待されていた。そのためLDAPは、相互運用性を向上させる、ディレクトリサービスの実装に依存しない共通プロトコルとして徐々にその地位を確保していった。Windows環境でも、Windows 2000 Serverから搭載されたActiveDirectoryではLDAPおよびKerberosに対応、相互運用性が高められている。

　LDAPに着目したのはサーバOSベンダーだけではない。当時Netscape Navigatorで一世を風靡（ふうび）していたNetscape CommunicationsもWebを用いた展開の1つとしてサービス向けのユーザー管理の必要性を感じており、LDAPベースのNetscape Directory Serverを開発・販売していた。これに限らず、インターネットおよびWebの普及と前後して、従来のログインおよびファイル共有へのアクセス用アカウントはもとより、Webやメールなどのサービスで用いる認証情報の提供という側面からも、ディレクトリサービスの必要性が高まっていった。

Appleの迷走

　NeXTソフトウェアを買収したAppleは、OPENSTEPをベースに次世代のOSを構築しようとした。しかし彼らは、NeXTSTEPとMac OSの、あまりに遠いアカウントに対する考え方をどう統合するかでかなり頭を悩ませた模様だ。

　従来のMac OSはシングルユーザー向けのOSで、アカウントやそれに基づくアクセス権限などといったものが皆無*である。一方のNeXTSTEPは大規模環境向けのNetInfoは備えているが、NetInfoはノートPCのようにあちこちに持ち運ばれIPアドレスやネットワーク構成がその時々で変わるような動的環境には対応しきれないという弱点を持っていた。多くのマックが個人向け環境で動作しており、大規模環境向けのディレクトリサービスを利用するのは大仰すぎる一方、企業や大学といった大規模ネットワークを前提とした市場ではLDAP対応やActiveDirectoryとの連携は無視できない。

　また重要な要素としてセキュリティがあるが、NetInfoは暗号化されていないSunRPCでパスワード情報をやり取りしてしまう。当時はそれでも問題はなかったが、昨今ではこうした生パスワードが流れかねない通信は御法度である。

　当初Appleは、NetInfoをそのまま使っていたのだが、紆余曲折の末、ローカル用途には従来の軽量で実績のあるNetInfoを用いつつ、大規模向けにはOpenDirectoryというOpenLDAPベースの新たなディレクトリサービスを用いることとなった。

次回は

　次回はこのOpenDirectoryの構成要素についてまず解説した後、認証の問題とパスワード情報のありかたについて論じていきたい。

このページで出てきた専門用語

System V

AT&Tが開発、UNIX Internationalという業界団体が標準とした商用UNIX。*BSDのつもりで触ると痛い目に遭うこと請け合いである。SunのSolarisやNECのUX/OSなどがSystem VをベースとしたUNIXである。

OSF/1

UNIX Internationalに対してIBM、DECなどの企業が結成した業界団体がThe Open Software Foundationである。この団体で制定されたUNIXがOSF/1で、Machカーネルを採用していた。OSF/1の後継として開発していたのがOSF-MKというMachカーネルであり、その上にLinuxパーソナリティを搭載したのがMkLinuxである。MkLinuxはMac OS Xの祖先の1つで、OSF-MKはDarwinに用いられているMachカーネルの源流の1つである。

NIS+

NISの後継となるべくSunが開発したディレクトリサービス。セキュリティの向上など優れた点も多かったが、その複雑さが災いしてあまり使われた例がない。Solarisぐらいしか搭載しておらず、そのSolarisでも、いまではLDAPベースのディレクトリサービスへの移行が強く推奨されている。

LDAP

Lightweight Directory Access Protocol。ディレクトリサービスを利用するためのプロトコルで、現在バージョン3がRFC2251〜2256で定義されている。

アクセス権限などといったものが皆無

AppleShareなどのファイルサーバを使ったときのリモートボリュームでフォルダに関してのみアクセス制御が可能だった。

本記事は、オープンソースマガジン2006年2月号「Undocumented Mac OS X」を再構成したものです。