TOPサーバ構築・運用> SASL認証




OpenLADP
改めてOpenLDAPはじめませんか?

第1回:認証の一元化を進めるOpenLDAPの今

著者:セシオス  関口 薫   2007/6/15
前のページ  1  2  3  次のページ
SASL認証

   OpenLDAPのクライアントとサーバは「SASL(Simple Authentication and Security Layer)」フレームワークを使用して認証を行うことができます。SASLの実装としては、Cyrus SASLを利用しており、次のような認証機構を使用することができます。
  • PLAIN、LOGIN:暗号化されていない平文パスワードを送信する認証
  • CRAM-MD5、DIGEST-MD5:チャレンジ・アンド・レスポンス方式による認証
  • Kerberos:Kerberos Vの認証サーバを利用した認証

表3:利用できる認証機構


TLSによる暗号化通信

   OpenLDAPのクラアントとサーバは「TLS(Transport Layer Security)」を用いて、通信を暗号化することができます。TLSの暗号化通信を行う際には、サーバに証明書を持たせる必要があります。


アクセス制御

   エントリおよび属性単位で、アクセスの制御を行うことができます。

   アクセス制御の対象は、DN、またはLDAPの検索フィルタによって指定することができ、アクセス権限は「検索(search)」や「比較(compare)」「更新(add、delete、modify、modrdn)」といったLDAPのオペレーション単位で指定することができます。


レプリケーション

   複数のサーバに更新したデータを複製する機能をレプリケーションと呼び、OpenLDAPではこの機能をサポートしています。

   レプリケーションの方式としてOpenLDAPは、現在シングルマスタレプリケーションを採用しています。この方式は、更新要求を1台のマスタサーバのみが受け付け、マスタサーバがその他のサーバ(スレーブサーバ)に受け付けた更新要求を複製します。

シングルマスタレプリケーション
図1:シングルマスタレプリケーション

   シングルマスタレプリケーションの他の方式として、マルチマスタレプリケーションがあります。この方式ではマスタサーバを複数台設置することができ、マスタサーバを冗長化することができます。上述しましたが、このマルチマスタレプリケーションについては、OpenLDAPの次期バージョン2.4で実装されています。


レプリケーションを行う2つの方法

   OpenLDAPはレプリケーションを行う方法として「slurpd」と「LDAP Sync」のどちらかを利用することができます。


slurpdレプリケーション

   まずslurpdによるレプリケーションについて解説します。

   「slapd(OpenLDAPのサーバデーモン)」が更新内容をレプリケーションログに出力します。このレプリケーションログをslurpdというレプリケーション用のデーモンが読み込んで、更新内容をスレーブサーバにLDAPプロトコルを通して伝播します。

   この方法は、マスタサーバがスレーブサーバに対して更新要求を送信するPUT型の仕組みとなります。また、更新要求を処理してから、slurpdによってレプリケーションが行われるまでにタイムラグがあるため、非同期的なタイミングのレプリケーションといえます。

slurpdによるレプリケーション
図2:slurpdによるレプリケーション

前のページ  1  2  3  次のページ


株式会社セシオス 関口 薫
著者プロフィール
株式会社セシオス  関口 薫
2000年早稲田大学理工学部を卒業後、大手システムインテグレータに入社。オープンソースソフトウェアを活用したシステム開発に従事し、その中で2002年頃OpenLDAPと出会う。現在は、OpenLDAPなどのオープンソースソフトウェアを組み合わせた認証ソリューションの開発・提供に従事している。


INDEX
第1回:認証の一元化を進めるOpenLDAPの今
  まず知りたい「OpenLDAPとは?」
SASL認証
  LDAP Syncレプリケーション