OpenLDAPとは

OpenLDAPとは、オープンソースのLDAPサーバソフトウェアである。OpenLDAPは、LDAPプロトコルの実装のテストベットとなっていて、事実上のLDAPの標準である。インターネット上では広く利用されている。特に、インターネットサービスプロバイダなどの利用負荷が高い環境において利用できる信頼性がある。

OpenLDAPの特徴

OpenLDAPには、次のような特徴がある。

多くのディストリビューションが採用

RedHat Enterprise Linux、CentOS、debian、ubuntuなど、ほとんどのディストリビューションが採用している。そのため、サポートが必要な場合には、商用ディストリビューションを利用することができる。また、各ディストリビューションからパッケージで提供されるため、インストールが容易である。

多くのアプリケーションとの親和性が高い

Linuxでは、Linux認証、Postfix、Apache、POP/IMAPサーバなど、多くのサーバソフトウェアがLDAPに対応している。このほとんどのアプリケーションが、OpenLDAPのライブラリを利用してLDAPの機能を実装している。そのため、OpenLDAPのLDAPサーバは極めて親和性が高い。

動的な設定変更が可能

LDAPは、認証を集中管理するために利用するため、一旦導入すると非常に重要なサービスとなる。そのため、再起動などはできるだけ避けたい。そこで、OpenLDAPでは、LDAPで利用されるLDIF形式で指示を出すことで、サーバの設定変更を動的に行うことができるようになっている。そのため、ログレベルの変更や、冗長化設定等でサーバに変更が必要な場合でも、再起動をする必要がない。

冗長性の確保

さらに、OpenLDAPには、同期レプリケーション機能があり、複数のサーバでデータを共有することで冗長性を担保できる。マルチマスタ機能も利用できる。また、Pacemaker/DRBDを使った冗長化にも対応できる。こうした機能を使って冗長性を保つことができるため、重要なシステムでも利用することができる。

OpenLDAPのGUI管理

OpenLDAPには、標準でldapadd、ldapmodify、ldapdelete、ldapsearchなどの、LDAPユーティリティが付属している。これらのユーティリティを使えば、コマンドラインからLDAPの管理を行うことができる。しかし、こうしたコマンドに慣れるのは非常に難しい。そこで、GUIからLDAPを管理できるソフトウェアが利用される。デージーネットでは、GUIからLDAPを管理するためのソフトウェアとして、phpLDAPadminを推奨している。

OpenLDAPの拡張性

OpenLDAPでは、オーバーレイ、バックエンドDBとよばれる2つの形式で拡張ができる。

オーバーレイは、認証やデータの管理を行うフロントエンドでの動作を拡張するAPIで、Kerberos、Windows認証など、標準外の認証を行うための多くのモジュールが提供されている。また、ActiveDirectoryなど、他のLDAPサーバと連携するオーバーレイなども標準で提供される。データを保管するデータベースであるバックエンドDBは、Berkeley DB形式が標準である。ただし、それ以外にも複数のデータベース形式をサポートし、用途によって切り替えることもできる。

デージーネットの取り組み

デージーネットは、インターネットプロバイダなどで、多数の顧客を管理するシステムの構築を行っている。こうしたシステムでは、主にLDAPを利用している。そのため、デージーネットでは、OpenLDAPを使った大規模な認証システムの構築に関して、多数の実績を持っている。また、2007年には、秀和システムから「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」を刊行し、LDAPに関する普及教育にも力を入れている。初版から10年となる2017年には、第3版を発刊した。

デージーネットでは、LDAP対応の多数のソフトウェアを開発し、オープンソースソフトウェアとして公開している。なかでも、postLDAPadminは、OpenLDAPをPostfixやdovecotと連携し、メールシステムを構築するソフトウェアとして、多くのユーザに利用されている。