オープンソース

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. OSS紹介
  4. LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜
  5. LDAPサーバの連携

LDAPサーバの連携

LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットがLDAPと連携した実績のあるアプリケーションについて取り上げます。

LDAPと連携実績のあるアプリケーション

LDAPとメールサーバ(Postfix, dovecot)との連携

LDAPの用途として、もっとも多いのがメールサーバでの利用です。メールサーバでは、従来はLinuxやUnixのユーザをそのまま使っていました。しかし、LinuxやUnixのユーザ数には上限があります。多くのユーザを持つ組織では、そのことが問題となります。

また、最近はメールソフトウェアやスマートフォンでメールを読むのが当たり前になり、メールサーバにログインする必要はありません。そのため、メールユーザをLinuxやUnixのユーザとして管理しても、ほとんどメリットがありません。そのため、最近では、メールのユーザをLDAPで管理することが多くなっています。

メールサーバのソフトウェアとしては、PostfixSendmailなどの代表的なMTAはLDAPと連携することができます。また、POP/IMAPサーバとして多くのディストリビューションで採用されているdovecotなども、完全にLDAPに対応しているため連携することができます。

LDAPサーバでは、主にメールアドレスとSMTP AUTHやPOP/IMAPで使用するためのIDとパスワードを管理します。また、メールの別名配送などを管理したり、メールボックスの容量制限などの設定値を個人毎に管理したりすることもできます。

なお、PostfixとLDAPを連携させた場合のメールユーザの管理インターフェースとして、デージーネットが開発したpostLDAPadminというソフトウェアがあります。postLDAPadminを利用することで、ユーザの登録・削除やユーザ自身によるパスワード変更などを、Web画面上から簡単に行うことができます。

postLDAPadminの詳細ページへ

LDAPとメールサーバのアドレス帳との連携

メールサーバとLDAPを連携すると、同時にアドレス帳としてLDAPを使うことも多くなります。メールサーバに必要なメールアドレスに加え、氏名、会社名、部署などをLDAPに登録しておくことで、メールソフトに付属しているアドレス帳からメールを送りたい相手のメールアドレスを検索することができるようになります。

多くのメールソフトウェアが、アドレス帳でLDAPサーバと連携することができます。例えば、Mozilla Thunderbirdは、一般的なinetOrgPersonなどのオブジェクトクラスに対応しています。Microsoft Outlookが利用するLDAPのオブジェクトクラスや属性は、公式には公開されていません。また、Outlookのバージョンによっても使用する属性が異なります。そのため、OutlookでLDAPアドレス帳を利用するには工夫が必要となります。

Linuxユーザ認証との連携

たくさんのサーバが存在する環境では、サーバ毎にユーザとパスワードを管理するのは大変です。そのため、サーバのユーザを集中管理するためにLDAPが利用されます。

最近のLinuxディストリビューションでは、sssdを使って、LDAPサーバとの連携を行います。また、PAM(Pluggable Authentication Modules)を使うと、アプリケーション毎の認証の制御や、ログイン時のホームディレクトリの作成など、より細かな制御を行うことができます。

さらに、属性とフィルタを上手く使えば、LDAPサーバ側でログイン可能なサーバを集中管理することもできます。

構築事例「OpenLDAPによるLDAPサーバのユーザ統合管理システム」ページへ

LDAPとWWWサーバ(Apache)との連携

多くのディストリビューションに採用されているWWWサーバのApacheは、LDAPに対応しています。主に、2つの用途でLDAPと連携することができます。 1つは、ユーザ用のホームページの管理用です。つまり、ユーザとホームディレクトリの保存場所を管理するために、LDAPでドキュメントディレクトリの場所を管理します。もう一つの用途は、Basic認証などのドキュメントの認証です。

LDAPサーバ上では、ユーザIDとパスワードを管理します。属性とフィルタを上手く使えば、LDAPサーバ側で利用可能なWWWサーバを集中管理することもできます。

また、Apacheは、X.509クライアント証明書などを使った認証もサポートしています。これらの認証をLDAPと組み合わせて行う場合には、ユーザの証明書のSubjectを属性値として管理する必要があります。

「認証サーバ構築サービス」ページへ

LDAPとプロキシサーバ(Squid)との連携

プロキシサーバの代表的なソフトウェアであるSquidも、LDAPと連携することが可能です。主に、認証の用途で利用します。LDAPサーバ上では、ユーザIDとパスワードを管理します。属性とフィルタを上手く使えば、LDAPサーバ側で利用可能なプロキシサーバを集中管理することもできます。

「インターネットサーバ構築サービス」ページへ

LDAPとRADIUSサーバ(FreeRADIUS)との連携

LDAPと同じ認証サーバであるRADIUSサーバも、バックエンドのデータベースとしてLDAPを利用することができます。一般的には、LDAPサーバには、Linuxユーザ認証で必要な属性(ユーザID、パスワード、ホームディレクトリなど)を登録します。FreeRADIUSには、アカウンティング情報をLDAPサーバに書き出す機能もあります。そのため、最終ログイン時刻などをLDAPで管理することもできます。

構築事例「LDAPと連携したRADIUSサーバ」ページへ

LDAPとFTPサーバ(Pure-FTPd)との連携

FTPは、古くからファイル転送などで使われているプロトコルです。残念ながら、RedHat Enterprise LinuxやCentOSなどで採用されているvsftpdは、LDAPに対応していません。しかし、proftpdやpure-ftpdはLDAPと連携することができます。一般的に、LDAPサーバ上で、ユーザID、パスワード、ログインディレクトリなどを管理します。Pure-ftpdでは、それに加えて、帯域制限や利用可能な容量などを管理することもできます。

「インターネットサーバ構築サービス」ページへ

LDAPと全文検索サーバ(Fess)との連携

Fessは、全文検索を行うオープンソースソフトウェアです。ファイルサーバの検索や、WWWサーバのサイト内検索を実装するのに利用されます。特にファイルサーバの検索では、ユーザの権限では見ることのできないファイルが閲覧できないようにする必要があります。そのため、FessはLDAPと連携することで、LDAPからユーザ名、パスワード、所属グループなどの情報を取得しアクセス制御を行います。

構築事例「Fessによるファイルサーバ検索システム」ページへ

LDAPとビジネスチャットツール(Rocket.Chat)との連携

Rocket.Chatは、Slack互換のビジネスチャットシステムです。ユーザ管理をLDAPと連携させることができます。LDAPと連携すれば、Rocket.Chatにユーザを個別に登録する必要はなく、LDAPに登録されているユーザのRocket.Chatのアクセスを集中管理することができます。Rocket.Chatは、LDAPからユーザIDとパスワードを取得します。

LDAPとActiveDirectoryとの連携

Windowsで利用されているディレクトリサービスであるActiveDirectoryは、LDAP version 2に対応しています。そのため、OpenLDAPと同様に、LDAPサーバとして利用することができます。ただし、LinuxとWindowsでは、認証の仕組みが大きく違います。そのため、OpenLDAPとActiveDirectoryの両方を使う場合には、同期ツールなどを使ってパスワードを同期する工夫が必要になります。

構築事例「メールシステム・ActiveDirectory連携」ページへ

構築事例(OpenLDAP)

OpenLDAPによるLDAPサーバのマルチマスタ構成

OpenLDAPのミラーモードでLDAPサーバを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使う事で、特別な冗長化ソフトウェアを使わずに、認証システムを冗長化しました。

構築事例(OpenLDAPによるLDAPサーバのユーザ統合管理システム)

OpenLDAPによるLDAPサーバのユーザ統合管理システム

リモートアクセスの管理などで利用しているLDAPサーバをリプレースしました。これまで利用してきた製品から、OpenLDAPへ移行することでライセンス費用を抑え、代わりにサーバを冗長化することが可能となりました。

構築事例(LDAPサーバ冗長化)

LDAPサーバ冗長化

LDAPサーバをサービス無停止で提供するため、PacemakerとDRBDを利用したHAクラスタでLDAPクラスタを構築しました。

構築事例(389 Directory Server)

389 Directory Serverを利用したLDAPサーバ

ケーブルテレビの契約ユーザ向けのLDAPサーバのリプレースを行いました。これまで使用してきた389 Directory ServerからOpenLDAPへリプレースしようとしましたが、設定上、うまくいかないことがあり、新サーバでも389 Directory Serverを採用することになりました。旧389 Directory Serverで利用していたLDAPのデータもすべて移行しました。

関連情報

389 Directory Server〜OSSのLDAPサーバ〜

389 Directory Serverは、LDAPサーバのもう1つの実装です。Red Hat社が出資するFedoraプロジェクトによって開発・管理されています。389 Directory ServerとOpenLDAPは、の2つを比較した際、389 Directory Serverの方がより高速であるという特徴があります。RedHat Enterprise Linux 8/CentOS 8では、OpenLDAPに替わり、389 Directory Serverが採用されています。

389 Directory Server

LDAPデータ管理のOSS比較 7選

LDAPサーバは、企業内では特にユーザ情報の管理や認証の基盤として使用されています。しかし、OSSのLDAPサーバのソフトウェアには、LDAPのデータを管理するためのGUIが付属しておらず、標準ではコマンドラインの操作が必要です。ここでは、LDAPサーバのデータを管理するためのOSSを紹介します。

LDAPデータ管理のOSS比較

デモのお申込み

もっと使い方が知りたい方へ
OpenLDAPの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenLDAPのデモをご希望の方は、下記よりお申込みいただけます。

デモをご希望の方

デモの申し込みイメージ


OSS情報「OpenLDAP」

LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜
OpenLDAPは、OSSのLDAPサーバソフトウェアです。ここでは、OpenLDAPに対するデージーネットの取り組みなどを紹介します。
OpenLDAPのLDAPサーバ(slapd)とは?
ここでは、OpenLDAPに付属するLDAPサーバのソフトウェアである「slapd」について紹介します。
slapdの冗長化と拡張機能
slapdは、様々な用途で利用できるLDAPサーバです。ここでは、slapdのシステム構成や拡張APIについて紹介します。
LDAPユーティリティコマンド
OpenLDAPには、LDAPユーティリティが付属しています。ここでは、主なLDAPユーティリティの概要を紹介します。
LDAPをGUIで管理するツール
OpenLDAPに付属するLDAP管理コマンドは、非常に柔軟で便利です。しかし、ファイル形式が複雑でもあります。そのためデージーネットでは、LDAP管理ツールを利用することを推奨しています。
LDAPサーバの連携
LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットがLDAPと連携した実績のあるアプリケーションを紹介します。
OpenLDAPサーバ インストール・構築方法
RedHat Enterprise Linux、CentOS、Debian、UbuntuなどのLinuxディストリビューションでは、OpenLDAPはパッケージとして提供されています。ここでは、ソースコードからのインストール方法について解説します。
連携アプリケーションの設定
ここでは、連携するアプリケーションのいくつかについて、設定方法の要約を紹介します。
LDAP管理GUIのインストール
ここでは、phpLDAPadminなどのLDAP管理GUIのインストール方法を解説します。

LDAPサーバの連携の先頭へ