-
サーバ構築のデージーネットTOP
-
OSS情報
-
OSS紹介
-
LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜
-
LDAPをGUIで管理するツール
LDAPをGUIで管理するツール
OpenLDAPに付属するLDAP管理コマンドは、非常に柔軟で便利です。しかし、登録や変更を行うために、LDIFファイルという特殊な形式のファイルを作る必要があり、非常に煩雑です。そのため、デージーネットでは用途に合わせたGUI管理ツールを使うことをお勧めしています。
ここでは、汎用的なLDAP管理ツール「phpLDAPadmin」とデージーネットが作成したOSSのLDAP管理ツール「postLDAPadmin」のその他のLDAP管理ツールについて紹介します。
LDAP管理ツール「phpLDAPadmin」
汎用的なLDAP管理ツールです。LDAPサーバにインストールしておくことで、WebからLDAPのデータを変更することができます。また、phpLDAPadminは、LDAPサーバの設定管理にも利用できるツールです。ただし、LDAPのDITをそのまま表示しますので、利用者はどのエントリのどんな属性に、どのような値を設定すれば良いのかという知識が必要です。しかし、現在は開発が停止している状態で、PHP8やOpenSSL3.0では、うまく動作しません。Githubでは、phpLDAPadmin2のデモサイトが公開されていますが、今現在動きがない状態です。
LDAPデータの管理
phpLDAPadminは、LDAPデータをGUIで管理するツールです。図のように、左側のフレームには、DITがツリー構造で表示されています。
このツールを使用して、LDAPエントリを選択すると、エントリの内容を表示したり、変更したりすることができます。また、新しいLDAPエントリを追加したり、LDAPエントリを削除したりといった管理を簡単に行うことができます。
LDAPサーバの管理
phpLDAPadminを使うと、GUIツールからLDAPサーバ(slapd)の設定も行うことができます。設定ディレクトリ(cn=config)の配下のLDAPエントリの設定を変更すると、動的にLDAPサーバの設定が変更できます。
LDAP管理ツール「phpLDAPadmin」のテンプレート機能
phpLDAPadminをLDAP管理ツールとして使用すると、管理を容易にする様々なテンプレートを利用できます。例えば、検索テンプレートを用意しておくと、よく行う検索を簡単に行うことができます。
また、LDAPエントリを作成する時に利用するテンプレートを用意しておくこともできます。あらかじめオブジェクトクラスや属性を決めたフォームを使って、LDAPエントリの登録を行うことができます。
LDAP管理ツール「postLDAPadmin」
postLDAPadminは、LDAPでメールサービスの運用を行うために、デージーネットが作成したOSSのLDAP管理ツールです。LDAPのディレクトリ名や属性などをまったく意識することなくユーザやメール転送の管理をGUIで行うことができます。一般的なオブジェクトクラスと属性を使っていますので、WWWサーバやFTPサーバなどから参照することも可能です。
LDAP管理ツール「web2ldap」
web2ldapは、1998年にリリースされてから2023年現在までも開発が継続されている歴史ある管理UIのソフトウェアです。web2ldapは、LDAPのオブジェクトクラスや属性名の表示について、テンプレート化されているため、多言語対応することが可能です。
実際の属性名とは異なる、ユーザフレンドリーな表示をすることもできます。しかし、メニューなどの多言語対応ができません。また継続してアップデートされているものの、UIのレイアウトが古いため、操作が直感的では無い部分があります。
LDAP管理ツール「ldap-ui」
ldap-uiは、Githubで公開されている、LDAPサーバ管理ソフトウェアです。ldap-uiは、LDAP DITの表示方法がツリー表示となっており、予め設定したDNパターンによる認証が行えることが特徴です。ldap-uiは、比較的新しいソフトウェアのため、画面が見やすく綺麗になっています。
しかし多言語対応が行われていないことや、操作によってはエラーページが表示されるなど、まだ安定性がありません。
LDAP管理ツール「go-ldap-admin」
go-ldap-adminとは、go言語で書かれたLDAP管理GUIです。go-ldap-adminは、LDAP DITの表示方法がテーブル表示となっており、ldap-uiと同じように、予め設定したDNパターンによる認証を行います。go-ldap-adminは、比較的新しいフロントエンドのフレームワークを用いて作られているため、画面は非常に綺麗です。
しかし、開発元が中国で多言語対応の機能も無いため、中国語を理解する必要があります。また、まだバージョン1.0がリリースされていない開発途上のソフトウェアです。
関連情報
389 Directory Serverは、LDAPサーバのもう1つの実装です。Red Hat社が出資するFedoraプロジェクトによって開発・管理されています。389 Directory ServerとOpenLDAPは、の2つを比較した際、389 Directory Serverの方がより高速であるという特徴があります。RedHat Enterprise Linux 8では、OpenLDAPに替わり、389 Directory Serverが採用されています。
389 Directory Serverはオープンソースのディレクトリサーバです。OpenLDAPサーバに替わるLDAPソフトウェアとして注目されています。本書では、389 Directory Serverのインストールや基本的な管理方法をまとめています。調査報告書は無料でダウンロードが可能です。
LDAPサーバは、LDAPに基づいてディレクトリサービスを提供するサーバのことです。企業内では特に、ユーザ情報の一元管理や認証の基盤として利用されています。しかし、OSSのLDAPサーバのソフトウェアには、LDAPのデータを管理するためのGUIが付属しておらず、標準ではコマンドラインの操作が必要です。この記事では、LDAPサーバのデータを管理するためのOSSと、それぞれの特徴を紹介します。
OpenLDAPのミラーモードでLDAPサーバーを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使うことで、特別な冗長化ソフトウェアを使わずに、認証システムの冗長化を実現しました。
リモートアクセスの管理などで利用しているLDAPサーバーをリプレースしました。これまで利用してきた製品からOpenLDAPへ移行することで、ライセンス費用を抑え、代わりにサーバーを冗長化することが可能となりました。
LDAPサーバーをサービス無停止で提供するため、PacemakerとDRBDを利用したHAクラスタでLDAPクラスタを構築しました。
ケーブルテレビの契約ユーザー向けのLDAPサーバのリプレースを行いました。これまで使用してきた389 Directory ServerからOpenLDAPへリプレースしようとしましたが、設定上、うまくいかないことがあり、新サーバーでも389 Directory Serverを採用することになりました。旧389 Directory Serverで利用していたLDAPのデータもすべて移行しました。
デージーネットでは、豊富なLDAPの利用実績を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」第3版では、RADIUSサーバをLDAPサーバと連携させる方法や、Microsoft社のActive Directory(AD)をLDAPサーバとして使う方法なども掲載しています。
デモのお申込み
もっと使い方が知りたい方へ
OpenLDAPの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenLDAPのデモをご希望の方は、下記よりお申込みいただけます。
OSS情報「OpenLDAP」
- LDAPユーティリティコマンド
- OpenLDAPには、LDAPユーティリティコマンドが付属しています。ここでは、主なLDAPユーティリティコマンドの概要を紹介します。
- LDAPをGUIで管理するツール
- OpenLDAPに付属するLDAP管理コマンドは、非常に柔軟で便利です。しかし、ファイル形式が複雑でもあります。そのためデージーネットでは、LDAP管理ツールを利用することを推奨しています。
- LDAPサーバの連携
- LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットがLDAPサーバと連携した実績のあるアプリケーションを紹介します。
