よくある質問・用語集

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. よくある質問・用語集
  4. 用語集
  5. LDAPとは
  • もっと調べる
  • どうやって使う?

LDAPとは

LDAPとは、インターネット上で、様々な情報を階層型で管理する機能を提供する目的で規定されているプロトコルである。Lightweight Directory Access Protocolの略称である。インターネット上でのメールアドレスの情報データベースを管理するために作成されたITU-TのX.400、それを拡張したX.500などの技術が元になっている。X.500が非常に重たい(Hevyな)設計だったことの反省から、LDAPは軽い(Lightweightな)実装ができるように設計された。

LDAPは、メールアドレスなどを管理する住所録としても使われるが、ユーザ名とパスワードの管理などで使われることが多い。また、各種アプリケーションの設定情報の共有データベースとして利用されることが多い。LDAPを使って、組織内の部門や人に関する情報を一元管理する統合管理が重要視されていることから、様々な用途で使われている。

多くのアプリケーションから利用することを前提として設計されたことから、LDAPをサポートするアプリケーションは非常に多い。メールサーバ、WWWサーバ、FTPサーバなど、インターネットの主要なサーバではLDAPをサポートしている。また、Linuxでは、NSS(Name Service Switch)やPAM(Pluggable Authentication Modules)などを介してユーザをLDAPで管理することができる。

LDAPv2 (RFC 1777)で標準化が行われ、その後セキュリティを強化した LDAPv3 (RFC 2251)がリリースされている。

LDAPサーバの実装としては、OpenLDAPが最も有名。日本でも多くのインターネットサービスプロバイダの商用サービスの中でOpenLDAPが使われている。その他、Microsoft Active Directoryや、RedHat Directory Server、Novell eDirectoryなど、LDAPを使って実装されている製品も多い。

デージーネットのLDAPに対する取り組み

デージーネットでは、大規模なメールサーバやWEBサーバを構築する時に、LDAPを利用することが多い。そのため、とてもたくさんの利用実績がある。デージーネットはLDAPの専門家として、「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」を出版している。LDAPサーバとしては、OpenLDAPとActiveDirectoryを利用することが多い。

LDAPの用途

複数のサーバで一つのサービスを行う場合には、ユーザ・パスワードのような認証情報やアプリケーションのデータを複数のサーバで共有したい場合が多い。このようなデータ共有ではMySQLやPostgreSQLのようなデータベースを使うこともできる。しかし、認証情報のようにあまり更新頻度が高くないデータの場合には、LDAPの方が高速に動作し、システムへの負荷が少ない。そのため、LDAPサーバを頻繁に利用する。

入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」には、様々なオープンソースソフトウェアでLDAPを利用する方法が掲載されている。

LDAPサーバの冗長化

LDAPをデータ共有のために利用している場合には、LDAPサーバの停止はシステム停止を引き起こす。そのため、LDAPサーバを構築する場合には、冗長構成をとることが多い。LDAPサーバの冗長構成にはいくつかのやり方がある。

  • クラスタ

    • PamcemakerとDRBDなどを使い、クラスタ構成にする。ロードバランサーなど、別の設備がなくても冗長化することができる。

  • レプリケーションとロードバランサー

    • OpenLDAPのレプリケーション(複製)機能を使って冗長構成にする。単純なレプリケーションでは、マスタサーバのみを更新できる。さらに、OpenLDAPのミラーモードを使うと、マスタサーバを2台用意することができる。ただし、同時に更新処理が行われないようにシステムを構成する必要がある。レプリケーション方式の場合には、ロードバランサーなどを使って、LDAPサーバの切り替えをする仕組みを別に用意する必要がある。

  • レプリケーションとクライアント設定

    • Linux認証やPostfixなどでは、複数のLDAPサーバを登録することができる。ただし、この機能を使って冗長化を行った場合には、LDAPサーバの障害時に、全体の動作が遅くなる場合がある。また、LDAPサーバの障害の状況によって適切に切り替わらない場合もある。そのため、デージーネットではこの方式を推奨していない。

    管理GUI

    LDAPデータの登録や管理は、LDIFという独特のフォーマットを使って行う。そのため、マニュアルでデータ登録や管理をすることは、非常に面倒である。デージーネットでは、LDAP連携のメールサーバをWEBから管理できる、postLDAPadminというソフトウェアを開発し、OSSとして公開している。また、メールサーバ以外の用途で使う場合にも、postLDAPadminをカスタマイズすることで、専用の管理画面を用意している。

    ActiveDirectoryとの連携

    デージーネットでは、ActiveDirectoryをLDAPサーバとしてシステムを構築することも多い。そのため、LDAPサーバとActiveDirectoryの連携や、メールサーバとActiveDirectoryとの連携についても多くの事例がある。

    サポート

    デージーネットが構築し、納品したLDAPサーバでは、大規模な障害が発生したことはない。OpenLDAPは非常に安定している。また、組織外に公開するサービスではないため、一般的にセキュリティの問題は多くない。しかし、非常に重要な機能を担うため、RedHat Enterprise LinuxのようなサポートのついたLinuxディストリビューションを利用することを推奨している。また、Open Smart Assistaceという導入後支援サービスを提供していて、リモートからの障害解析や24時間365日の障害対応なども実施している。

【カテゴリ】:プロトコル  認証  

  • もっと調べる
  • どうやって使う?

【Webセミナー】自社でOSSを採用しよう!今更聞けないOSSの基本セミナー

日程: 11月22日(金)Webセミナー「BigBlueButton」を使用します。
内容: OSSを導入したいけど、どこから手をつければいいかわからない方必見!
ご興味のあるかたはぜひご参加ください。

セミナー申込

関連用語

LDAPに関連するページ(事例など)

用語一覧ページへ戻る

LDAPとは先頭へ