システム構築

サーバー構築のデージーネットTOP > システム構築 > 認証サーバ構築 > OpenLDAPによるLDAPサーバのマルチマスタ構成

構築事例:OpenLDAPによるLDAPサーバのマルチマスタ構成

Open Smart Design

OpenLDAPのミラーモードでLDAPサーバを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使う事で、特別な冗長化ソフトウェアを使わずに、認証システムを冗長化しました。

導入企業業種
インターネットサービスプロバイダ(愛知県名古屋市)
ユーザー規模
10万アカウント
利用OS
Linux(Red Hat Enterprise Linux 6)
導入月
2013年4月
お客様が悩まれていた課題
認証サーバが止まると他のシステムへの影響が大きい
冗長化ソフトウェアは高コストで導入に踏み切れない

デージーネットが提案した「OpenLDAPによるLDAPサーバのマルチマスタ構成」

解決ポイント

OpenLDAPのミラーモードを活用して、LDAPマルチマスタで構成

アカウントの管理を行うLDAP認証システムに関して、冗長構成によるサービス継続性を求められていました。しかし、OSSのOpenLDAPを使えばコストは抑えられますが、冗長化ソフトウェアとOpenLDAPの両方を採用したシステムでは導入コスト、運用コストが高くなってしまうという問題に直面していました。

OpenLDAPのミラーモードを採用

OpenLDAP2.4から実装されているミラーモードを利用して、OpenLDAPマルチマスタ構成を提案しました。OpenLDAPのsyncレプリケーションでは、LDAPプロバイダ(更新用)サーバに障害が発生した場合、LDAPコンシューマ(参照用)サーバをLDAPプロバイダサーバに昇格させる等の調整が必要です。しかし、OpenLDAPマルチマスタ構成にすれば、障害発生時にもOpenLDAPによる認証システムの運用を継続することができます。また、この機能は、OpenLDAPの標準機能なので、冗長化ソフトウェアも必要ありません。

OpenLDAPのミラーモード採用例

更新用OpenLDAPサーバを固定することでトラブルを回避

OpenLDAPのミラーモードでは、2台のOpenLDAPサーバに同時に更新を行うと問題が発生する場合があります。そのためロードバランサで更新リクエストを1台のOpenLDAPに限定するようにすることで、問題を回避しました。

OpenLDAPによるLDAPサーバの動作確認

OpenLDAPのミラーモードを利用しているため構成はシンプルです。しかし、OpenLDAPの設定には、細かい調整が必要でした。そのため、OpenLDAPの切り替えに問題がないか、システムを厳しく動作確認しました。

導入後の結果

OpenLDAPの標準機能の活用で冗長化できたため、導入コストが低減できました。さらに、認証サーバの構成がシンプルになり、運用コストも低下させることができました。更新頻度は高くなく、OpenLDAPへの更新リクエストの負荷分散は不要であったため、認証サーバ運用にまったく問題ありませんでした。



利用OSS

OpenLDAPとは

OpenLDAPは、LDAPサーバソフトウェアでオープンソースとして公開されています。OpenLDAPは、LDAPプロトコルの実装のテストベットとなっていて、事実上LDAPの標準です。

LDAPサーバとは

LDAP(Lightweight Directory Access Protocol)とは、インターネット上でユーザ、パスワードなどの様々な情報を管理する目的で規定されているプロトコルです。LDAPは、メールアドレスなどを管理する住所録としても利用されますが、ユーザとパスワードの管理などで利用されることが多くあります。その他に、各種アプリケーション設定ファイルの情報の共有ベータベースとして利用される場合もあります。

コンピュータを利用する上でユーザ、パスワードなどの認証情報の管理は、非常に重要となっています。LDAPサーバは、情報を一元管理する統合管理に適しているため、様々な場面で利用されています。LDAPサーバは、その名の通りディレクトリデータベースへアクセスするプロトコルです。そうしたことから、ディレクトリサービスとも呼ばれます。

OpenLDAPの利用

複数のサーバで一つのサービスを行う場合には、ユーザ、パスワードといった認証情報やアプリケーションのデータをサーバ間で共有したいことが多くあります。こうしたデータ共有では、MySQLやPostgreSQLといったデータベースが利用できます。しかしながら、認証情報のような更新頻度がそれほど高くないデータの場合には、OpenLDAPの方が高速に動作します。

OpenLDAPは、最も有名なLDAPサーバソフトウェアです。日本でも多くのインターネットサービスプロバイダのサービス内で、OpenLDAPが使われています。また、多くのネットワーク機器では、OpenLDAPやFreeRADIUSといったOSSの認証ソフトウェアとの連携をサポートしています。そのため安心してOpenLDAPを利用できる環境となっています。

OpenLDAPの拡張

OpenLDAPでは、オーバーレイとバックエンドDBと呼ばれる2つの形式で拡張ができます。

オーバーレイ

オーバーレイは、OpenLDAPでの認証やデータの管理を行うフロントエンドの動作を拡張するAPIです。Kerberos、Windows認証など、標準外の認証を行うためのモジュールが提供されています。また、ActiveDirectoryなど、OpenLDAP以外のLDAPサーバと連携するオーバーレイなども標準で提供されています。

バックエンドDB

バックエンドDBは、データを保管するデータベースです。標準は、BerkeleyDB形式となっています。その他にも複数のデータベース形式をサポートし、用途によって切り替えることができます。

デージーネットとOpenLDAP

デージーネットは、「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」を出版しているLDAPの専門家です。LDAPサーバとしては、OpenLDAPとActiveDirectoryを利用することが多くあります。大規模なメールサーバやWebサーバでは、LDAPを利用することが多く、OpenLDAP構築実績は非常に多くあります。

OpenLDAPの冗長化

OpenLDAPは、非常に安定したソフトウェアです。しかし、OpenLDAPの機能は非常に重要です。そのため、OpenLDAPを利用する場合には、冗長構成を提案しています。

OpenLDAPの冗長化には、レプリケーション(複製)の機能を使うことができます。また、今回の事例のように、OpenLDAPのミラーモードを使うと、マルチマスタの構成とすることができます。ただし、OpenLDAPのミラーモードを使う場合、同時に更新処理が行われないように設定する必要があります。

OpenLDAPの管理GUI

OpenLDAPのデータ登録や管理は、LDIFというフォーマットで設定します。
LDIFファイルは、テキスト形式で以下のように記述します。

# コメント
dn:識別名
属性記述子:属性値

LDIFファイルに記載されたこのような組み合わせを一つのエントリとして情報を管理します。

  • LDIFファイル属性記述子の例
    cn:オブジェクトの名前
    o(organizationName):組織名
    sn(surname):姓
    mail:メールアドレス
    uid:アカウントのログイン名
    userpassword:エントリのパスワード

このようなデータの登録や管理は、非常に煩雑です。デージーネットでは、LDAP連携をしているメールサーバをWebから設定できるpostLDAPadminというソフトウェアを開発し、OSSとして公開しています。また、メールサーバ以外の用途で使う場合でも、postLDAPadminをカスタマイズすることで、専用の管理画面が用意できます。

それ以外に、phpLDAPadminやLDAP Account Managerといった管理WebUIがあります。それぞれ、データの管理をWebインタフェースから行うことが可能です。

LDAP Account Managerは、Sambaとの連携が可能で、Sambaのユーザアカウント管理やグループアカウント管理ができます。phpLDAPadminは、ディレクトリのツリー構造が視覚的に表現されるのが特徴です。そのため、データ構造を簡単に捉えることができます。

OpenLDAPのサポート

OpenLDAPは、様々なLinuxディストリビューションに採用され、多数の導入実績があります。OpenLDAPは非常に安定したソフトウェアです。組織外に公開するサービスではないため、セキュリティの問題も多くありません。
ただし、非常に重要な機能を担うため、RedHat Enterprise LinuxのようなサポートのついたLinuxディストリビューションを利用することを推奨しています。

デージーネットでOpenLDAPを構築した場合、導入後支援サービスを提供しています。リモートからの障害解析や24時間365日の障害対応などで、OpenLDAPの利用をサポートしています。導入後支援サービスは、継続してシステム管理者のサポートを行うサービスです。

OpenLDAPのコンサルティング

デージーネットでは、コンサルティングという形でも、OpenLDAPの利用をサポートしています。インターネットサービスプロバイダの厳しい環境で培ったノウハウを元に、お客様が抱えている課題の解決をサポートしていきます。

認証サーバ構築の事例一覧

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

モデルプランをご希望の方

OpenLDAPによるLDAPサーバのマルチマスタ構成の先頭へ