オープンソース

LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜

パスワード管理の課題

一般的に、さまざまなサービス利用する際、各サーバごとに設定された個別のユーザIDとパスワードの認証が必要となります。最近は、一人の人が使うサービスやツールが増加し、たくさんのユーザIDとパスワードを覚えなければならないといった問題があります。さらに、総当たり攻撃を防ぐために、複雑なパスワードを設定することが求められています。加えて、安全のためにサービスごとに異なるパスワードを都度登録することが好ましいとされています。ユーザは、こうした個別のパスワードを覚え、それぞれにログイン処理を行う必要があるのです。

LDAPサーバとは

LDAPサーバとは、LDAPに対応したディレクトリサービスを提供するサーバのことをいいます。ディレクトリサービスとは、ネットワークの中にあるユーザーIDやパスワードなどの情報を一元管理し、必要な時にクライアントに対し情報の検索・追加・削除・変更などの機能を提供するサービスです。つまりLDAPサーバは、一元管理された情報をLDAPを使ってやり取りするサーバのことを指します。

LDAPサーバでユーザIDやパスワードを一元管理することで、各サーバごとで行っていた認証をLDAPの認証だけで済ませることができます。そのため、ユーザは多くのパスワードを覚えることが不要になり、ログインの度に発生する手間も軽減されます。

またこのように、1度のユーザIDとパスワードの認証により、組織(管理ドメイン)を超えて様々なシステムの認証を行えるようにする技術を、シングルサインオンといいます。LDAPサーバは、シングルサインオンのシステムのパスワード管理のためにも使われています。

LDAPサーバのOpenLDAPとは

OpenLDAPとは、オープンソースのLDAPサーバソフトウェアです。OpenLDAPは、LDAPプロトコルの実装のテストベットとなっていて、事実上のLDAPの標準です。SuSE Linux、debian、Ubuntuなど、様々なディストリビューションにも標準で採用されています。

OpenLDAPはオープンソースソフトウェアのため、無償で入手できるというメリットがあります。そのため、初めてディレクトリサーバを利用する際の実験的な用途としても使用できます。

OpenLDAPには、3つの要素があります。

OpenLDAP3つの要素

  • LDAPサーバ(slapd)

  • LDAPユーティリティ

  • LDAPライブラリ

多くのアプリケーションが、OpenLDAPの提供するLDAPライブラリを使い、LDAPサーバと連携できるように作成されています。特に、インターネットサービスプロバイダなどの利用負荷が高い環境において利用できる信頼性があります。

OpenLDAPについて学ぶには

デージーネットでは、15年以上のLDAPの利用経験があります。そうした利用経験を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。ここでは、LDAPに関連するデージーネットの書籍についてそれぞれ紹介します。

ネットワークサーバ構築ガイドシリーズ

書籍(CentOS7で作るネットワークサーバ構築ガイド)

CentOS 7で作るネットワークサーバ構築ガイド

「RedHat 7.3で作るネットワークサーバ構築ガイド(2002年; 秀和システム)」をスタートに、最新の「CentOS 7で作るネットワークサーバ構築ガイド 1804対応 第2版 (2018年)」まで。

デージーネットでは、長年、ネットワークサーバ構築ガイドシリーズの執筆に携わっています。これらの書籍にはOpenLDAPを取り上げているだけではなく、各種サービスソフトウェアのLDAP連携についても紹介しています。

入門LDAP/OpenLDAPディレクトリサービス導入・運用ガイド

デージーネットでは、他社に先駆けてLDAPの入門書を出版しています。

書籍(入門LDAP/OpenLDAP_第1版)

入門LDAP/OpenLDAP 第1版

2007年に第1版として出版されました。OpenLDAP2.2の入門書として、5年に渡り販売されました。

書籍(入門LDAP/OpenLDAP_第2版)

入門LDAP/OpenLDAP 第2版

2012年に第2版として出版されました。OpenLDAP2.4の入門書として、設定ディレクトリやphpLDAPadminを使ったGUI対応などまで解説の範囲を広げました。2017年まで5年に渡って販売されました。

書籍(入門LDAP/OpenLDAP_第3版)

入門LDAP/OpenLDAP 第3版

2017年11月に第3版として出版されました。OpenLDAP2.4の入門書としてGUIを使った管理の解説が充実しました。また、RADIUSとの連携、LDAPプログラミングの事例、Microsoft Active Directoryなど、さらに内容が充実しています。

デージーネットの取り組み

LDAPサーバの構築

デージーネットでは、インターネットサービスプロバイダ、大学、企業向けのシステム構築でOpenLDAPを使った構築サービスを提供しています。LDAPサーバは、システムの利用にあたって認証のために使うことが多く、停止してしまうと非常に影響の大きなサービスです。そのため、OpenLDAPのレプリケーション機能やHAクラスタなどを使って、無停止で運用できるシステムを構築しています。

LDAP連携システムの構築

LDAP連携システムの構築イメージ

デージーネットでは、単純にLDAPサーバを構築するだけではなく、LDAP認証を使ったシステム全体の設計から構築まで、多くの経験を持っています。LDAP認証とは、ネットワーク内の複数のサーバーで登録しているユーザIDやパスワードを、1ユーザのアカウントの情報として一元管理することで、LDAPサーバのみを参照する方法です。特にインターネットサービスプロバイダでは、メールサーバ、WWWサーバ、FTPサーバ、RADIUSサーバなど、一つの認証データベースを様々なサービスと接続し、LDAP認証を使ったシステムを構築しています。(詳しくは「アプリケーションとの連携」ページをご覧ください)

LDAP管理ソフトウェアの開発

LDAP管理ソフトウェアの開発イメージ

LDAPを使ったシステムの構築では、管理者がLDAP上のデータをどうように管理するかを考慮する必要があります。デージーネットは、phpLDAPadminなどのオープンソースのGUI管理ツールを推奨しています。

しかし、実際に業務で使うには、もっと直感的的に使えるインタフェースが望まれることが少なくありません。そのため、デージーネットでは、業務に合わせたLDAP管理ソフトウェアの開発も行っています。

そして、そのうちのいくつかをオープンソースソフトウェアとして公開しています。例えば、postLDAPadminは、デージーネットで開発したメールサービス用のLDAP管理ソフトウェアです。postLDAPadminを使うことで、LDAPのディレクトリ名や属性などをまったく意識することなく、ユーザーやメール転送の管理をWebインターフェース上で簡単に行うことができます。

関連情報

389 Directory Server〜OSSのLDAPサーバ〜

389 Directory Serverは、LDAPサーバのもう1つの実装です。Red Hat社が出資するFedoraプロジェクトによって開発・管理されています。389 Directory ServerとOpenLDAPは、の2つを比較した際、389 Directory Serverの方がより高速であるという特徴があります。RedHat Enterprise Linux 8では、OpenLDAPに替わり、389 Directory Serverが採用されています。

389 Directory Server

389 Directory Server調査報告書

389 Directory Serverはオープンソースのディレクトリサーバです。OpenLDAPサーバに替わるLDAPソフトウェアとして注目されています。本書では、389 Directory Serverのインストールや基本的な管理方法をまとめています。調査報告書は無料でダウンロードが可能です。

389 Directory Server調査報告書

LDAPデータ管理のOSS比較 7選

LDAPサーバは、LDAPに基づいてディレクトリサービスを提供するサーバのことです。企業内では特に、ユーザ情報の一元管理や認証の基盤として利用されています。しかし、OSSのLDAPサーバのソフトウェアには、LDAPのデータを管理するためのGUIが付属しておらず、標準ではコマンドラインの操作が必要です。この記事では、LDAPサーバのデータを管理するためのOSSと、それぞれの特徴を紹介します。

LDAPデータ管理のOSS比較

OpenLDAPによるLDAPサーバのマルチマスタ構成構築事例

OpenLDAPのミラーモードでLDAPサーバーを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使うことで、特別な冗長化ソフトウェアを使わずに、認証システムの冗長化を実現しました。

構築事例(LDAPサーバのマルチマスタ構成構築事例)

OpenLDAPによるLDAPサーバのユーザ統合管理システム構築事例

リモートアクセスの管理などで利用しているLDAPサーバーをリプレースしました。これまで利用してきた製品からOpenLDAPへ移行することで、ライセンス費用を抑え、代わりにサーバーを冗長化することが可能となりました。

LDAPサーバのユーザ統合管理システム

LDAPサーバ冗長化事例

LDAPサーバーをサービス無停止で提供するため、PacemakerとDRBDを利用したHAクラスタでLDAPクラスタを構築しました。

構築事例(LDAPサーバ冗長化)

389 Directory Serverを利用したLDAPサーバ構築事例

ケーブルテレビの契約ユーザー向けのLDAPサーバのリプレースを行いました。これまで使用してきた389 Directory ServerからOpenLDAPへリプレースしようとしましたが、設定上、うまくいかないことがあり、新サーバーでも389 Directory Serverを採用することになりました。旧389 Directory Serverで利用していたLDAPのデータもすべて移行しました。

構築事例(389 Directory Server)

OpenLDAP関連書籍

デージーネットでは、豊富なLDAPの利用実績を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」第3版では、RADIUSサーバをLDAPサーバと連携させる方法や、Microsoft社のActive Directory(AD)をLDAPサーバとして使う方法なども掲載しています。

OpenLDAP関連書籍

デモのお申込み

もっと使い方が知りたい方へ
OpenLDAPの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenLDAPのデモをご希望の方は、下記よりお申込みいただけます。

デモをご希望の方

デモの申し込みイメージ


「OpenLDAP」OSS情報

LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜
ここでは、OSSのLDAPサーバソフトウェアであるOpenLDAPについて、デージーネットの取り組みなどを紹介します。
LDAPサーバのslapdとは?
ここでは、OpenLDAPに付属するLDAPサーバのソフトウェアである「slapd」について紹介します。
slapdの冗長化と拡張機能
slapdは、様々な用途で利用できるLDAPサーバです。ここでは、slapdのシステム構成や拡張APIについて紹介します。
LDAPユーティリティコマンド
ここでは、OpenLDAPに付属している主なLDAPユーティリティの概要を紹介します。
LDAPをGUIで管理するツール
OpenLDAPに付属する管理コマンドは、非常に柔軟で便利です。ここでは、用途に合わせたGUI管理ツールを紹介します。
LDAPサーバの連携
LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットが連携した実績のあるアプリケーションを紹介します。
OpenLDAPサーバ インストール・構築方法
RedHat Enterprise Linux、Debian、UbuntuなどのLinuxディストリビューションでは、OpenLDAPはパッケージとして提供されています。ここでは、ソースコードからのインストール方法について解説します。
連携アプリケーションの設定
ここでは、連携するアプリケーションのいくつかについて、設定方法の要約を紹介します。
LDAP管理GUIのインストール
ここでは、phpLDAPadminなどのLDAP管理GUIのインストール方法を解説します。

LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜の先頭へ