-
サーバ構築のデージーネットTOP
-
OSS情報
-
OSS紹介
-
OpenLDAPとは?〜LDAPサーバの仕組み・導入・設定方法と活用例〜
OpenLDAPとは?〜LDAPサーバの仕組み・導入・設定方法と活用例〜
OpenLDAPとは、LDAPプロトコルに対応したオープンソースのディレクトリサービスソフトウェアです。ユーザ情報や認証情報を一元管理できるため、Linuxサーバや各種システムのLDAPサーバとして広く利用されています。ユーザ管理やパスワード管理を個別に行っていると、「アカウント管理が煩雑になる」「システムごとに認証方式が異なり運用負荷が高い」といった問題が起こりがちです。このページでは、そうした課題を解決するOSSのディレクトリサービス 「OpenLDAP」 について、基本的な仕組みや特徴を紹介します。
- +
目次
LDAPサーバのOpenLDAPとは
OpenLDAPとは、オープンソースのLDAPサーバソフトウェアです。OpenLDAPは、LDAPプロトコルの実装のテストベットとなっていて、事実上のLDAPの標準です。SuSE Linux、debian、Ubuntuなど、様々なディストリビューションにも標準で採用されています。
OpenLDAPはオープンソースソフトウェアのため、無償で入手できるというメリットがあります。そのため、初めてディレクトリサーバを利用する際の実験的な用途としても使用できます。
OpenLDAPには、3つの要素があります。
- LDAPサーバ(slapd)
- LDAPユーティリティ
- LDAPライブラリ
多くのアプリケーションが、OpenLDAPの提供するLDAPライブラリを使い、LDAPサーバと連携できるように作成されています。特に、インターネットサービスプロバイダなどの利用負荷が高い環境において利用できる信頼性があります。
OpenLDAPで解決できる課題
OpenLDAPでは、以下のような課題を解決することができます。
ユーザ管理・パスワード管理の煩雑化
一般的に、複数のサービスを利用する場合、各システムごとにユーザIDとパスワードによる認証が必要となります。近年は利用するサービスやツールが増加し、多数のIDやパスワードを管理しなければならないケースが増えています。OpenLDAPを導入することで、ユーザ情報や認証情報を一元的に管理できるようになります。各システムをOpenLDAPによるLDAP認証と連携させることで、ユーザの追加・削除やパスワード変更を集中管理でき、個別のシステムごとに対応する必要がなくなります。その結果、アカウント管理の手間や設定ミスのリスクを抑えながら、セキュリティポリシーを統一した認証基盤を構築でき、管理者の運用負荷を大きく軽減することが可能です。
システムごとにログインが必要となり、ユーザの手間が増える
システムごとにログインが必要となる環境では、利用者は複数のユーザIDやパスワードを使い分ける必要があり、操作の手間が増えるという課題があります。OpenLDAPを導入することで、各システムをLDAP認証と連携させることで、共通のIDとパスワードで複数のシステムにログインできるようになります。これにより、利用者は認証情報を個別に管理する必要がなくなり、利便性の向上が期待できます。
またこのように、1度のユーザIDとパスワードの認証により、組織(管理ドメイン)を超えて様々なシステムの認証を行えるようにする技術を、シングルサインオンといいます。LDAPサーバは、シングルサインオンのシステムのパスワード管理のためにも使われています。
OpenLDAPについて学ぶには
デージーネットでは、15年以上のLDAPの利用経験があります。そうした利用経験を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。ここでは、LDAPに関連するデージーネットの書籍についてそれぞれ紹介します。
ネットワークサーバ構築ガイドシリーズ
CentOS 7で作るネットワークサーバ構築ガイド
「RedHat 7.3で作るネットワークサーバ構築ガイド(2002年; 秀和システム)」をスタートに、最新の「CentOS 7で作るネットワークサーバ構築ガイド 1804対応 第2版 (2018年)」まで。
デージーネットでは、長年、ネットワークサーバ構築ガイドシリーズの執筆に携わっています。これらの書籍にはOpenLDAPを取り上げているだけではなく、各種サービスソフトウェアのLDAP連携についても紹介しています。
入門LDAP/OpenLDAPディレクトリサービス導入・運用ガイド
デージーネットでは、他社に先駆けてLDAPの入門書を出版しています。
入門LDAP/OpenLDAP 第1版
2007年に第1版として出版されました。OpenLDAP2.2の入門書として、5年に渡り販売されました。
入門LDAP/OpenLDAP 第2版
2012年に第2版として出版されました。OpenLDAP2.4の入門書として、設定ディレクトリやphpLDAPadminを使ったGUI対応などまで解説の範囲を広げました。2017年まで5年に渡って販売されました。
入門LDAP/OpenLDAP 第3版
2017年11月に第3版として出版されました。OpenLDAP2.4の入門書としてGUIを使った管理の解説が充実しました。また、RADIUSとの連携、LDAPプログラミングの事例、Microsoft Active Directoryなど、さらに内容が充実しています。
デージーネットの取り組み
LDAPサーバの構築
デージーネットでは、インターネットサービスプロバイダ、大学、企業向けのシステム構築でOpenLDAPを使った構築サービスを提供しています。LDAPサーバは、システムの利用にあたって認証のために使うことが多く、停止してしまうと非常に影響の大きなサービスです。そのため、OpenLDAPのレプリケーション機能やHAクラスタなどを使って、無停止で運用できるシステムを構築しています。
なお、LDAPサーバで認証システムを構築した場合、標準的な構成での構築費用の目安は95万円〜180万円となるケースが多いですが、 構成内容(構築方法、台数、冗長化、外部連携の有無、マニュアルの有無など)によって費用が変動します。詳細はヒアリングの上で個別にご提案していますので、導入をご検討の方は、お気軽にお問い合わせください。
「認証サーバ構築サービス」ページへ
OpenLDAPの保守サポート
デージーネットでは、LDAPに関するシステム構築やシステム全体の保守、コンサルティングの実績を活かし、OpenLDAPの保守サポートを提供しております。この保守サポートでは、ソフトウェアのインストール方法や使い方に関するQ&A、セキュリティ情報の提供を行います。詳しくは下記をご確認ください。
OpenLDAPの保守サポートについてはこちら
LDAP連携システムの構築
デージーネットでは、単純にLDAPサーバを構築するだけではなく、LDAP認証を使ったシステム全体の設計から構築まで、多くの経験を持っています。LDAP認証とは、ネットワーク内の複数のサーバーで登録しているユーザIDやパスワードを、1ユーザのアカウントの情報として一元管理することで、LDAPサーバのみを参照する方法です。特にインターネットサービスプロバイダでは、メールサーバ、WWWサーバ、FTPサーバ、RADIUSサーバなど、一つの認証データベースを様々なサービスと接続し、LDAP認証を使ったシステムを構築しています。(詳しくは「アプリケーションとの連携」ページをご覧ください)
「LDAPのアプリケーション連携」ページへ
LDAP管理ソフトウェアの開発
LDAPを使ったシステムの構築では、管理者がLDAP上のデータをどうように管理するかを考慮する必要があります。デージーネットは、phpLDAPadminなどのオープンソースのGUI管理ツールを推奨しています。
しかし、実際に業務で使うには、もっと直感的的に使えるインタフェースが望まれることが少なくありません。そのため、デージーネットでは、業務に合わせたLDAP管理ソフトウェアの開発も行っています。
そして、そのうちのいくつかをオープンソースソフトウェアとして公開しています。例えば、postLDAPadminは、デージーネットで開発したメールサービス用のLDAP管理ソフトウェアです。postLDAPadminを使うことで、LDAPのディレクトリ名や属性などをまったく意識することなく、ユーザーやメール転送の管理をWebインターフェース上で簡単に行うことができます。
「postLDAPadmin」OSS紹介ページへ
関連情報
389 Directory Serverは、LDAPサーバのもう1つの実装です。Red Hat社が出資するFedoraプロジェクトによって開発・管理されています。389 Directory ServerとOpenLDAPは、の2つを比較した際、389 Directory Serverの方がより高速であるという特徴があります。RedHat Enterprise Linux 8では、OpenLDAPに替わり、389 Directory Serverが採用されています。
389 Directory Serverはオープンソースのディレクトリサーバです。OpenLDAPサーバに替わるLDAPソフトウェアとして注目されています。本書では、389 Directory Serverのインストールや基本的な管理方法をまとめています。調査報告書は無料でダウンロードが可能です。
LDAPサーバは、LDAPに基づいてディレクトリサービスを提供するサーバのことです。企業内では特に、ユーザ情報の一元管理や認証の基盤として利用されています。しかし、OSSのLDAPサーバのソフトウェアには、LDAPのデータを管理するためのGUIが付属しておらず、標準ではコマンドラインの操作が必要です。この記事では、LDAPサーバのデータを管理するためのOSSと、それぞれの特徴を紹介します。
OpenLDAPのミラーモードでLDAPサーバーを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使うことで、特別な冗長化ソフトウェアを使わずに、認証システムの冗長化を実現しました。
リモートアクセスの管理などで利用しているLDAPサーバーをリプレースしました。これまで利用してきた製品からOpenLDAPへ移行することで、ライセンス費用を抑え、代わりにサーバーを冗長化することが可能となりました。
LDAPサーバーをサービス無停止で提供するため、PacemakerとDRBDを利用したHAクラスタでLDAPクラスタを構築しました。
ケーブルテレビの契約ユーザー向けのLDAPサーバのリプレースを行いました。これまで使用してきた389 Directory ServerからOpenLDAPへリプレースしようとしましたが、設定上、うまくいかないことがあり、新サーバーでも389 Directory Serverを採用することになりました。旧389 Directory Serverで利用していたLDAPのデータもすべて移行しました。
デージーネットでは、豊富なLDAPの利用実績を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」第3版では、RADIUSサーバをLDAPサーバと連携させる方法や、Microsoft社のActive Directory(AD)をLDAPサーバとして使う方法なども掲載しています。
デモのお申込み
もっと使い方が知りたい方へ
OpenLDAPの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenLDAPのデモをご希望の方は、下記よりお申込みいただけます。
「OpenLDAP」OSS情報
- slapdの冗長化と拡張機能
- slapdは、様々な用途で利用できるLDAPサーバです。ここでは、slapdのシステム構成や拡張APIについて紹介します。
- LDAPサーバの連携
- LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットが連携した実績のあるアプリケーションを紹介します。
