オープンソース

LDAPサーバの連携

LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットがLDAPと連携した実績のあるアプリケーションについて取り上げます。

LDAPと連携実績のあるアプリケーション

LDAPとメールサーバ(Postfix, dovecot)との連携

LDAPの用途として、もっとも多いのがメールサーバでの利用です。メールサーバでは、従来はLinuxやUnixのユーザをそのまま使っていました。しかし、LinuxやUnixのユーザ数には上限があります。多くのユーザを持つ組織では、そのことが問題となります。

また、最近はメールソフトウェアやスマートフォンでメールを読むのが当たり前になり、メールサーバにログインする必要はありません。そのため、メールユーザをLinuxやUnixのユーザとして管理しても、ほとんどメリットがありません。そのため、最近では、メールのユーザをLDAPで管理することが多くなっています。

メールサーバのソフトウェアとしては、PostfixSendmailなどの代表的なMTAはLDAPと連携することができます。また、POP/IMAPサーバとして多くのディストリビューションで採用されているdovecotなども、完全にLDAPに対応しているため連携することができます。

LDAPサーバでは、主にメールアドレスとSMTP AUTHやPOP/IMAPで使用するためのIDとパスワードを管理します。また、メールの別名配送などを管理したり、メールボックスの容量制限などの設定値を個人毎に管理したりすることもできます。

なお、PostfixとLDAPを連携させた場合のメールユーザの管理インターフェースとして、デージーネットが開発したpostLDAPadminというソフトウェアがあります。postLDAPadminを利用することで、ユーザの登録・削除やユーザ自身によるパスワード変更などを、Web画面上から簡単に行うことができます。

LDAPとメールサーバのアドレス帳との連携

メールサーバとLDAPを連携すると、同時にアドレス帳としてLDAPを使うことも多くなります。メールサーバに必要なメールアドレスに加え、氏名、会社名、部署などをLDAPに登録しておくことで、メールソフトに付属しているアドレス帳からメールを送りたい相手のメールアドレスを検索することができるようになります。

多くのメールソフトウェアが、アドレス帳でLDAPサーバと連携することができます。例えば、Mozilla Thunderbirdは、一般的なinetOrgPersonなどのオブジェクトクラスに対応しています。Microsoft Outlookが利用するLDAPのオブジェクトクラスや属性は、公式には公開されていません。また、Outlookのバージョンによっても使用する属性が異なります。そのため、OutlookでLDAPアドレス帳を利用するには工夫が必要となります。

Linuxユーザ認証との連携

たくさんのサーバが存在する環境では、サーバ毎にユーザとパスワードを管理するのは大変です。そのため、サーバのユーザを集中管理するためにLDAPが利用されます。

最近のLinuxディストリビューションでは、sssdを使って、LDAPサーバとの連携を行います。また、PAM(Pluggable Authentication Modules)を使うと、アプリケーション毎の認証の制御や、ログイン時のホームディレクトリの作成など、より細かな制御を行うことができます。

さらに、属性とフィルタを上手く使えば、LDAPサーバ側でログイン可能なサーバを集中管理することもできます。

LDAPとWWWサーバ(Apache)との連携

多くのディストリビューションに採用されているWWWサーバのApacheは、LDAPに対応しています。主に、2つの用途でLDAPと連携することができます。 1つは、ユーザ用のホームページの管理用です。つまり、ユーザとホームディレクトリの保存場所を管理するために、LDAPでドキュメントディレクトリの場所を管理します。もう一つの用途は、Basic認証などのドキュメントの認証です。

LDAPサーバ上では、ユーザIDとパスワードを管理します。属性とフィルタを上手く使えば、LDAPサーバ側で利用可能なWWWサーバを集中管理することもできます。

また、Apacheは、X.509クライアント証明書などを使った認証もサポートしています。これらの認証をLDAPと組み合わせて行う場合には、ユーザの証明書のSubjectを属性値として管理する必要があります。

LDAPとプロキシサーバ(Squid)との連携

プロキシサーバの代表的なソフトウェアであるSquidも、LDAPと連携することが可能です。主に、認証の用途で利用します。LDAPサーバ上では、ユーザIDとパスワードを管理します。属性とフィルタを上手く使えば、LDAPサーバ側で利用可能なプロキシサーバを集中管理することもできます。

LDAPとRADIUSサーバ(FreeRADIUS)との連携

LDAPと同じ認証サーバであるRADIUSサーバも、バックエンドのデータベースとしてLDAPを利用することができます。一般的には、LDAPサーバには、Linuxユーザ認証で必要な属性(ユーザID、パスワード、ホームディレクトリなど)を登録します。FreeRADIUSには、アカウンティング情報をLDAPサーバに書き出す機能もあります。そのため、最終ログイン時刻などをLDAPで管理することもできます。

LDAPとFTPサーバ(Pure-FTPd)との連携

FTPは、古くからファイル転送などで使われているプロトコルです。残念ながら、RedHat Enterprise LinuxやCentOSなどで採用されているvsftpdは、LDAPに対応していません。しかし、proftpdやpure-ftpdはLDAPと連携することができます。一般的に、LDAPサーバ上で、ユーザID、パスワード、ログインディレクトリなどを管理します。Pure-ftpdでは、それに加えて、帯域制限や利用可能な容量などを管理することもできます。

LDAPと全文検索サーバ(Fess)との連携

Fessは、全文検索を行うオープンソースソフトウェアです。ファイルサーバの検索や、WWWサーバのサイト内検索を実装するのに利用されます。特にファイルサーバの検索では、ユーザの権限では見ることのできないファイルが閲覧できないようにする必要があります。そのため、FessはLDAPと連携することで、LDAPからユーザ名、パスワード、所属グループなどの情報を取得しアクセス制御を行います。

LDAPとビジネスチャットツール(Rocket.Chat)との連携

Rocket.Chatは、Slack互換のビジネスチャットシステムです。ユーザ管理をLDAPと連携させることができます。LDAPと連携すれば、Rocket.Chatにユーザを個別に登録する必要はなく、LDAPに登録されているユーザのRocket.Chatのアクセスを集中管理することができます。Rocket.Chatは、LDAPからユーザIDとパスワードを取得します。

LDAPとActiveDirectoryとの連携

Windowsで利用されているディレクトリサービスであるActiveDirectoryは、LDAP version 2に対応しています。そのため、OpenLDAPと同様に、LDAPサーバとして利用することができます。ただし、LinuxとWindowsでは、認証の仕組みが大きく違います。そのため、OpenLDAPとActiveDirectoryの両方を使う場合には、同期ツールなどを使ってパスワードを同期する工夫が必要になります。

関連情報

389 Directory Server〜OSSのLDAPサーバ〜

389 Directory Serverは、LDAPサーバのもう1つの実装です。Red Hat社が出資するFedoraプロジェクトによって開発・管理されています。389 Directory ServerとOpenLDAPは、の2つを比較した際、389 Directory Serverの方がより高速であるという特徴があります。RedHat Enterprise Linux 8では、OpenLDAPに替わり、389 Directory Serverが採用されています。

389 Directory Server

389 Directory Server調査報告書

389 Directory Serverはオープンソースのディレクトリサーバです。OpenLDAPサーバに替わるLDAPソフトウェアとして注目されています。本書では、389 Directory Serverのインストールや基本的な管理方法をまとめています。調査報告書は無料でダウンロードが可能です。

389 Directory Server調査報告書

LDAPデータ管理のOSS比較 7選

LDAPサーバは、LDAPに基づいてディレクトリサービスを提供するサーバのことです。企業内では特に、ユーザ情報の一元管理や認証の基盤として利用されています。しかし、OSSのLDAPサーバのソフトウェアには、LDAPのデータを管理するためのGUIが付属しておらず、標準ではコマンドラインの操作が必要です。この記事では、LDAPサーバのデータを管理するためのOSSと、それぞれの特徴を紹介します。

LDAPデータ管理のOSS比較

OpenLDAPによるLDAPサーバのマルチマスタ構成構築事例

OpenLDAPのミラーモードでLDAPサーバーを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使うことで、特別な冗長化ソフトウェアを使わずに、認証システムの冗長化を実現しました。

構築事例(LDAPサーバのマルチマスタ構成構築事例)

OpenLDAPによるLDAPサーバのユーザ統合管理システム構築事例

リモートアクセスの管理などで利用しているLDAPサーバーをリプレースしました。これまで利用してきた製品からOpenLDAPへ移行することで、ライセンス費用を抑え、代わりにサーバーを冗長化することが可能となりました。

LDAPサーバのユーザ統合管理システム

LDAPサーバ冗長化事例

LDAPサーバーをサービス無停止で提供するため、PacemakerとDRBDを利用したHAクラスタでLDAPクラスタを構築しました。

構築事例(LDAPサーバ冗長化)

389 Directory Serverを利用したLDAPサーバ構築事例

ケーブルテレビの契約ユーザー向けのLDAPサーバのリプレースを行いました。これまで使用してきた389 Directory ServerからOpenLDAPへリプレースしようとしましたが、設定上、うまくいかないことがあり、新サーバーでも389 Directory Serverを採用することになりました。旧389 Directory Serverで利用していたLDAPのデータもすべて移行しました。

構築事例(389 Directory Server)

OpenLDAP関連書籍

デージーネットでは、豊富なLDAPの利用実績を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」第3版では、RADIUSサーバをLDAPサーバと連携させる方法や、Microsoft社のActive Directory(AD)をLDAPサーバとして使う方法なども掲載しています。

OpenLDAP関連書籍

デモのお申込み

もっと使い方が知りたい方へ
OpenLDAPの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenLDAPのデモをご希望の方は、下記よりお申込みいただけます。

デモをご希望の方

デモの申し込みイメージ


OSS情報「OpenLDAP」

LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜
OpenLDAPは、OSSのLDAPサーバソフトウェアです。ここでは、OpenLDAPに対するデージーネットの取り組みなどを紹介します。
LDAPサーバのslapdとは?
ここでは、OpenLDAPに付属するLDAPサーバのソフトウェアである「slapd」について紹介します。
slapdの冗長化と拡張機能
slapdは、様々な用途で利用できるLDAPサーバです。ここでは、slapdのシステム構成や拡張APIについて紹介します。
LDAPユーティリティコマンド
OpenLDAPには、LDAPユーティリティが付属しています。ここでは、主なLDAPユーティリティの概要を紹介します。
LDAPをGUIで管理するツール
OpenLDAPに付属するLDAP管理コマンドは、非常に柔軟で便利です。しかし、ファイル形式が複雑でもあります。そのためデージーネットでは、LDAP管理ツールを利用することを推奨しています。
LDAPサーバの連携
LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットがLDAPと連携した実績のあるアプリケーションを紹介します。
OpenLDAPサーバ インストール・構築方法
ここでは、OpenLDAPのソースコードからのインストール方法について解説します。
連携アプリケーションの設定
ここでは、連携するアプリケーションのいくつかについて、設定方法の要約を紹介します。
LDAP管理GUIのインストール
ここでは、phpLDAPadminなどのLDAP管理GUIのインストール方法を解説します。

LDAPサーバの連携の先頭へ