-
サーバ構築のデージーネットTOP
-
OSS情報
-
OSS紹介
-
LDAPサーバでパスワード管理の課題を解決〜OpenLDAP〜
-
LDAPサーバ(slapd)の冗長化と拡張機能
LDAPサーバ(slapd)の冗長化と拡張機能
LDAPサーバ(slapd)は、様々な用途で利用できるLDAPサーバです。停止が許されない環境や、非常に多数のアクセスがある環境でも利用できます。そのため、デージーネットでは、LDAPサーバ構築時には、必ず冗長化した構成を推奨しています。また、LDAPサーバ(slapd)には拡張APIが用意され、柔軟に機能を拡張することができます。ここでは、LDAPサーバ(slapd)のシステム構成や拡張APIについて解説します。
負荷分散構成と冗長化構成
LDAPは、認証やデータの管理を集中して行う用途で使われます。そのため、LDAPサーバが停止すると、様々なサービスが停止してしまう可能性があります。デージーネットでは、LDAPサーバを構築する場合には、必ずLDAPサーバを冗長化した構成を推奨しています。LDAPサーバの冗長化構成にはレベルによっていくつかの方法があります。ここでは、LDAPサーバの冗長化構成を3つ紹介します。
同期レプリケーション
同期レプリケーションは、LDAPサーバ(slapd)が用意するLDAPデータ複製の仕組みです。複数のLDAPサーバのうち、一つをプロバイダ(マスタ)にします。他のLDAPサーバは、コンシューマとして、プロバイダからデータの複製を受けます。
この構成では、LDAPデータの更新はプロバイダに対して行う必要があります。プロバイダが停止しても、コンシューマを利用して認証サービスを継続することができます。ですが、LDAPデータの更新はできなくなります。
マルチマスタレプリケーション構成
同期レプリケーションの特殊な形態で、複数台のプロバイダ(マスタ)サーバを配置する構成です。1つのプロバイダに対して行われた変更は、別のプロバイダに反映されます。そのため、一つのプロバイダが停止しても、LDAPデータの参照も更新も継続して行うことができます。
ただし、同時に複数のプロバイダへの更新を行うと、LDAPデータの不整合が発生する可能性があります。そのため、更新処理を行うLDAPサーバは常に1つにしておく必要があります。ロードバランサーの、フォールバック機能などと組み合わせて利用するのが一般的です。
「OpenLDAPによるマルチマスタ構成事例」へ
HAクラスタ構成
同期レプリケーションで、LDAPデータの更新サーバが一台のプロバイダに限定されてしまう欠点を補うため、プロバイダをHAクラスタとして冗長化します。デージーネットでは、DRBDを使ってLDAPのデータをミラーリングし、Pacemaker、Corosyncなどを使ってLDAPサーバを冗長化する構成を推奨しています。
「LDAPサーバ冗長化事例」へ
バックエンドとオーバーレイ
OpenLDAPのLDAPサーバには、バックエンドとオーバーレイの2つの拡張APIが用意されています。バックエンドは、LDAPのデータを管理するためのデータベースです。通常は、Berkeley DBを使ったbdb、hdbか、独自フォーマットのデータベースであるmdbを使います。しかし、mysqlなどのデータベースでLDAPデータを管理したり、別のLDAPサーバや、アプリケーションをバックエンドのデータベースとして利用することもできます。
オーバーレイは、データベースのフロントエンドとして働くAPIです。LDAPデータの複製や変換などを行うことができます。ここでは、よく使われるバックエンドとオーバーレイを紹介します。
syncprovオーバーレイとsyncreplオーバーレイ
syncprovとsyncreplは、同期レプリケーションの行うためのオーバーレイです。syncprovを有効にしたLDAPサーバは、同期プロバイダとして動作することができるようになります。また、syncreplを有効にしたLDAPサーバは、プロバイダーからデータを取得し、ローカルなデータベースに書き込みを行います。
relayオーバーレイ
relayオーバーレイは、通常のDITの複製を用意するオーバーレイです。例えば、ディレクトリツリーの形を変えたり、属性名を変換したりするために使われます。
metaバックエンド
metaバックエンドは、複数のActiveDirectoryやLDAPサーバを統合して、1つのディレクトリツリーを構成するためのバックエンドです。用途によって、複数のディレクトリサーバが混在している環境で利用します。
関連情報
389 Directory Serverは、LDAPサーバのもう1つの実装です。Red Hat社が出資するFedoraプロジェクトによって開発・管理されています。389 Directory ServerとOpenLDAPは、の2つを比較した際、389 Directory Serverの方がより高速であるという特徴があります。RedHat Enterprise Linux 8では、OpenLDAPに替わり、389 Directory Serverが採用されています。
389 Directory Serverはオープンソースのディレクトリサーバです。OpenLDAPサーバに替わるLDAPソフトウェアとして注目されています。本書では、389 Directory Serverのインストールや基本的な管理方法をまとめています。調査報告書は無料でダウンロードが可能です。
LDAPサーバは、LDAPに基づいてディレクトリサービスを提供するサーバのことです。企業内では特に、ユーザ情報の一元管理や認証の基盤として利用されています。しかし、OSSのLDAPサーバのソフトウェアには、LDAPのデータを管理するためのGUIが付属しておらず、標準ではコマンドラインの操作が必要です。この記事では、LDAPサーバのデータを管理するためのOSSと、それぞれの特徴を紹介します。
OpenLDAPのミラーモードでLDAPサーバーを二重化しました。認証システムの冗長構成が求められていましたが、冗長化ソフトウェアの導入はコスト面で問題がありました。OpenLDAPの柔軟性を活用し、OpenLDAP標準機能であるミラーモードを使うことで、特別な冗長化ソフトウェアを使わずに、認証システムの冗長化を実現しました。
リモートアクセスの管理などで利用しているLDAPサーバーをリプレースしました。これまで利用してきた製品からOpenLDAPへ移行することで、ライセンス費用を抑え、代わりにサーバーを冗長化することが可能となりました。
LDAPサーバーをサービス無停止で提供するため、PacemakerとDRBDを利用したHAクラスタでLDAPクラスタを構築しました。
ケーブルテレビの契約ユーザー向けのLDAPサーバのリプレースを行いました。これまで使用してきた389 Directory ServerからOpenLDAPへリプレースしようとしましたが、設定上、うまくいかないことがあり、新サーバーでも389 Directory Serverを採用することになりました。旧389 Directory Serverで利用していたLDAPのデータもすべて移行しました。
デージーネットでは、豊富なLDAPの利用実績を書籍として公開しています。より詳しい情報が必要な場合には、ぜひ書籍をご参照下さい。「入門LDAP/OpenLDAP ディレクトリサービス導入・運用ガイド」第3版では、RADIUSサーバをLDAPサーバと連携させる方法や、Microsoft社のActive Directory(AD)をLDAPサーバとして使う方法なども掲載しています。
デモのお申込み
もっと使い方が知りたい方へ
OpenLDAPの操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。OpenLDAPのデモをご希望の方は、下記よりお申込みいただけます。
OSS情報「OpenLDAP」
- LDAPユーティリティコマンド
- OpenLDAPには、LDAPユーティリティが付属しています。ここでは、主なLDAPユーティリティの概要を紹介します。
- LDAPをGUIで管理するツール
- OpenLDAPに付属するLDAP管理コマンドは、非常に柔軟で便利です。ここでは、用途に合わせたGUI管理ツールを紹介します。
- LDAPサーバの連携
- LDAPは、様々なアプリケーションと連携することができます。ここでは、デージーネットがLDAPと連携した実績のあるアプリケーションを紹介します。
