章 13章. LDAP(Lightweight Directory Access Protocol)

LDAP(Lightweight Directory Access Protocol) とは、ネットワーク上の中枢にある保存情報にアクセスするための一連のオープンプロトコルです。ディレクトリ共有用にX.500 基準をベースとしていますが、複雑ではなくリソース集中型です。この為、LDAP は時には "X.500 Lite"とも呼ばれます。X.500 基準は、階級化され分類化された情報を含んでおり、その中には名前、住所、電話 などの情報があります。

X.500の様に LDAP は、ディレクトリを使用して情報を階級式に構成します。 これらのディレクトリは各種の情報を保存でき、さらにはネットワーク情報 サービス(NIS)と似た方法で使用することができます。LDAP が有効になっている ネットワーク上では誰でも、どのマシンからも自分のアカウントにアクセス できます。

多くの場合、LDAP は仮想電話帳として使用され、ユーザーが他のユーザーの連絡先 情報に簡単にアクセスすることができます。LDAP は従来の電話帳よりも柔軟性があり、世界中の他の LDAP サーバーへ参照できることから、臨時的な情報のグローバルリポジトリを提供します。ただし現在、LDAP は大学、政府の各部門、民間企業 などの個々の組織内での使用が一般的です。

LDAPはクライアント/サーバー型のシステムです。 サーバーは、ディレクトリを保存するのに各種のデータベースを使用し、 それぞれが迅速で大量の読み込み操作を行なうために最適化されています。 LDAPのクライアントアプリケーションがLDAPサーバーにアクセスする時は、 ディレクトリに問い合わせするか、あるいはそれを変更しようとします。 問い合わせの場合は、サーバーはそれに答えるか、又は ローカルで回答出来ない場合、サーバーはその問い合わせの回答を持つ LDAPサーバーへ案内します。クライアントアプリケーションがLDAPディレクトリの 情報を変更しようとしている場合は、サーバーはそのユーザーが変更する権限を 持っているかどうかを検証してから情報の追加なり更新なりをします。

本章では、LDAPv2 及び LDAPv3 プロトコルのオープンソース実装である OpenLDAP 2.0の設定とその使用法を参照します。

13.1. LDAPの使用理由

LDAPを使用することの主要なメリットは、 全組織内の情報を中央のリポジトリに統合できる ことです。 例えば、組織内のそれぞれのグループのユーザー一覧を管理するのではなく、LDAPを ネットワーク上のどこからでもアクセスできる中央ディレクトリとして使用します。その上、 LDAPはSecure Sockets Layer (SSL)とTransport Layer Security (TLS)をサポートします ので、機密データを外部の侵入から保護することができます。

LDAPはまた、ディレクトリを収納するバックエンドデータベースを数多く サポートします。これにより、管理者はサーバーが分配する情報のタイプに 最も適したデータベースを起用できる柔軟性を持つことになります。LDAPは また、適切に定義されたクライアントアプリケーションプログラミングインター フェイス(API)を持つ為、LDAP対応のアプリケーションの数は多く、更には その質と量も上昇中です。

13.1.1. OpenLDAP 機能

OpenLDAP は数多くの重要な機能を含んでいます。

  • LDAPv3 サポート — OpenLDAP は、他の改良と共に SASL (Simple Authentication and Security Layer)、TLS (TLS Transport Layer Security)、及び SSL (Secure Sockets Layer)をサポートします。LDAPv2 以後、 プロトコル内の多くの変更は、LDAPに より高度なセキュリティを与えるように 設計されています。

  • IPv6 サポート — OpenLDAP は 次世代のインターネットプロトコルのバージョン 6 に対応して います。

  • IPC上でのLDAP — OpenLDAP は インタープロセスコミュニケーション(IPC)を使用するシステム内で 通信できます。これで、ネットワーク上で通信する必要がなくなり セキュリティが向上します。

  • C APIの更新 — これにより プログラマーが LDAPディレクトリサーバーに接続して使用する 方法が向上します。

  • LDIFv1 サポート — LDAP Data Interchange Format (LDIF)バージョン 1 に 対して、完全に準拠しています。

  • 機能拡張されたスタンドアロンLDAPサーバー — アップデートされたアクセス制御システム、スレッドプーリング、より優れたツール、 その他の機能拡張が含まれています。