 |
|
| 改めてOpenLDAPはじめませんか? |
第1回:認証の一元化を進めるOpenLDAPの今
著者:セシオス 関口 薫 2007/6/15
|
|
|
| 前のページ 1 2 3 次のページ
|
|
| SASL認証
|
OpenLDAPのクライアントとサーバは「SASL(Simple Authentication and Security Layer)」フレームワークを使用して認証を行うことができます。SASLの実装としては、Cyrus SASLを利用しており、次のような認証機構を使用することができます。
- PLAIN、LOGIN:暗号化されていない平文パスワードを送信する認証
- CRAM-MD5、DIGEST-MD5:チャレンジ・アンド・レスポンス方式による認証
- Kerberos:Kerberos Vの認証サーバを利用した認証
表3:利用できる認証機構
|
| TLSによる暗号化通信
|
OpenLDAPのクラアントとサーバは「TLS(Transport Layer Security)」を用いて、通信を暗号化することができます。TLSの暗号化通信を行う際には、サーバに証明書を持たせる必要があります。
|
| アクセス制御
|
エントリおよび属性単位で、アクセスの制御を行うことができます。
アクセス制御の対象は、DN、またはLDAPの検索フィルタによって指定することができ、アクセス権限は「検索(search)」や「比較(compare)」「更新(add、delete、modify、modrdn)」といったLDAPのオペレーション単位で指定することができます。
|
| レプリケーション
|
複数のサーバに更新したデータを複製する機能をレプリケーションと呼び、OpenLDAPではこの機能をサポートしています。
レプリケーションの方式としてOpenLDAPは、現在シングルマスタレプリケーションを採用しています。この方式は、更新要求を1台のマスタサーバのみが受け付け、マスタサーバがその他のサーバ(スレーブサーバ)に受け付けた更新要求を複製します。
図1:シングルマスタレプリケーション
シングルマスタレプリケーションの他の方式として、マルチマスタレプリケーションがあります。この方式ではマスタサーバを複数台設置することができ、マスタサーバを冗長化することができます。上述しましたが、このマルチマスタレプリケーションについては、OpenLDAPの次期バージョン2.4で実装されています。
|
| レプリケーションを行う2つの方法
|
OpenLDAPはレプリケーションを行う方法として「slurpd」と「LDAP Sync」のどちらかを利用することができます。
|
| slurpdレプリケーション
|
まずslurpdによるレプリケーションについて解説します。
「slapd(OpenLDAPのサーバデーモン)」が更新内容をレプリケーションログに出力します。このレプリケーションログをslurpdというレプリケーション用のデーモンが読み込んで、更新内容をスレーブサーバにLDAPプロトコルを通して伝播します。
この方法は、マスタサーバがスレーブサーバに対して更新要求を送信するPUT型の仕組みとなります。また、更新要求を処理してから、slurpdによってレプリケーションが行われるまでにタイムラグがあるため、非同期的なタイミングのレプリケーションといえます。
図2:slurpdによるレプリケーション
|
前のページ 1 2 3 次のページ
|
|
|
|
|
著者プロフィール
株式会社セシオス 関口 薫
2000年早稲田大学理工学部を卒業後、大手システムインテグレータに入社。オープンソースソフトウェアを活用したシステム開発に従事し、その中で2002年頃OpenLDAPと出会う。現在は、OpenLDAPなどのオープンソースソフトウェアを組み合わせた認証ソリューションの開発・提供に従事している。
|
|
|
|
|
|
