TOP
>
サーバ構築・運用
> SASL認証
改めてOpenLDAPはじめませんか?
第1回:認証の一元化を進めるOpenLDAPの今
著者:
セシオス 関口 薫
2007/6/15
前のページ
1
2
3
次のページ
SASL認証
OpenLDAPのクライアントとサーバは「SASL(Simple Authentication and Security Layer)」フレームワークを使用して認証を行うことができます。SASLの実装としては、Cyrus SASLを利用しており、次のような認証機構を使用することができます。
PLAIN、LOGIN:暗号化されていない平文パスワードを送信する認証
CRAM-MD5、DIGEST-MD5:チャレンジ・アンド・レスポンス方式による認証
Kerberos:Kerberos Vの認証サーバを利用した認証
表3:利用できる認証機構
TLSによる暗号化通信
OpenLDAPのクラアントとサーバは「TLS(Transport Layer Security)」を用いて、通信を暗号化することができます。TLSの暗号化通信を行う際には、サーバに証明書を持たせる必要があります。
アクセス制御
エントリおよび属性単位で、アクセスの制御を行うことができます。
アクセス制御の対象は、DN、またはLDAPの検索フィルタによって指定することができ、アクセス権限は「検索(search)」や「比較(compare)」「更新(add、delete、modify、modrdn)」といったLDAPのオペレーション単位で指定することができます。
レプリケーション
複数のサーバに更新したデータを複製する機能をレプリケーションと呼び、OpenLDAPではこの機能をサポートしています。
レプリケーションの方式としてOpenLDAPは、現在シングルマスタレプリケーションを採用しています。この方式は、更新要求を1台のマスタサーバのみが受け付け、マスタサーバがその他のサーバ(スレーブサーバ)に受け付けた更新要求を複製します。
図1:シングルマスタレプリケーション
シングルマスタレプリケーションの他の方式として、マルチマスタレプリケーションがあります。この方式ではマスタサーバを複数台設置することができ、マスタサーバを冗長化することができます。上述しましたが、このマルチマスタレプリケーションについては、OpenLDAPの次期バージョン2.4で実装されています。
レプリケーションを行う2つの方法
OpenLDAPはレプリケーションを行う方法として「slurpd」と「LDAP Sync」のどちらかを利用することができます。
slurpdレプリケーション
まずslurpdによるレプリケーションについて解説します。
「slapd(OpenLDAPのサーバデーモン)」が更新内容をレプリケーションログに出力します。このレプリケーションログをslurpdというレプリケーション用のデーモンが読み込んで、更新内容をスレーブサーバにLDAPプロトコルを通して伝播します。
この方法は、マスタサーバがスレーブサーバに対して更新要求を送信する
PUT型の仕組み
となります。また、更新要求を処理してから、slurpdによってレプリケーションが行われるまでにタイムラグがあるため、非同期的なタイミングのレプリケーションといえます。
図2:slurpdによるレプリケーション
前のページ
1
2
3
次のページ
著者プロフィール
株式会社セシオス 関口 薫
2000年早稲田大学理工学部を卒業後、大手システムインテグレータに入社。オープンソースソフトウェアを活用したシステム開発に従事し、その中で2002年頃OpenLDAPと出会う。現在は、OpenLDAPなどのオープンソースソフトウェアを組み合わせた認証ソリューションの開発・提供に従事している。
INDEX
第1回:認証の一元化を進めるOpenLDAPの今
まず知りたい「OpenLDAPとは?」
SASL認証
LDAP Syncレプリケーション