OpenLDAPとは

OpenLDAP（オープンエルダップ）は、ディレクトリ・サービスに接続するために使用されるプロトコルであるLDAP（Lightweight Directory Access Protocol）を実装したオープンソースのディレクトリ・サーバソフトウェアです。ミシガン大学で開発されてから20年以上の歴史があり、同種のオープンソースソフトウェアの中では最も導入実績があります。現在も多くのLinuxディストリビューションに含まれています。

ディレクトリ・サービスは、ネットワークを利用するユーザ名やマシン名など、ネットワーク上に存在するさまざまな資源（リソース）や情報をツリー構造のデータベースを用いて一元的に管理し、検索するためのサービスです。また、管理する情報に対するアクセスコントロールも提供します。
このディレクトリ・サービスは、Windows、Linux、UNIXなどのさまざまなOSが混在するサーバ環境では、OSやプラットフォームごとに仕様 が異なる場合があります。このような場合、例えばユーザアカウント情報をサーバごと、プラットフォームごとに管理するため、セキュリティや管理負荷の面で多くの課題が指摘されていました。

OpenLDAPは、このようなマルチプラットフォーム環境でもOSやプラットフォームに依存せずにサーバ間・システム間で認証連携し、ユーザ情報データベースを統合管理してシングル・サインオンを実現することができる共通基盤のオープンソースとして注目されています。

主な機能

主な機能は以下のとおりです。

• LDAP v3
  LDAP v3で動作します。
• SASL対応
  SASL(Simple Authentication and Security Layer)による認証およびデータセキュリティをサポートします。
• TLS対応
  TLSを利用した証明書ベースの認証およびデータセキュリティをサポートします。
• トポロジーコントロール
  ネットワークトポロジー情報に基づいてソケットレベルでアクセス制御することが可能です。この機能はTCPラッパーを使用します。
• アクセスコントロール
  認証情報、IPアドレス、ドメイン名やその他の基準に基づく、エントリへのアクセス制御を実現します。
• 国際化
  Unicodeおよび、言語タグをサポートします。
• バックエンドDB
  様々なデータベースバックエンドを選択可能です。階層型の高性能トランザクションデータベースバックエンドとしては、MDBが利用されます。
• マルチDB対応
  LDAPツリー上に、同時に複数のバックエンドデータベースを使用して、応答を返すことができます。
• 汎用的なモジュールAPI
  モジュールをカスタマイズすることも可能です。OpenLDAPは、LDAPクライアントと通信を処理するフロントエンドと、データベース操作のようなタスクを処理するモジュールの2つにより構成されます。また、一般的なプログラミング言語(PerlおよびSQL)を使用して、外部データソースを公開することもできます。
  
• スレッド
  slapdプロセスはマルチスレッドで動作します。スレッドはプールされており、高いパフォーマンスおよびオーバーヘッドの削減を実現します。
• レプリケーション
  ディレクトリ情報はシャドウコピーを維持するように構成可能です。また、2つ以上のノードの書き込み操作を受け付ける、マルチプロバイダレプリケーションも利用可能です。
• プロキシキャッシュ
  キャッシングLDAPプロキシサービスとして構成することも可能です。
• 設定
  単一の構成ファイルを利用し、高度な設定が可能です。また、LDAP自体に設定を保存して、動的に変更することも可能です。

• 参考

主な特徴

OpenLDAPは、次のような特徴があります。

• ライセンス費用はゼロで、無料で使用可能（有償保守サポートを依頼する場合は別途費用がかかる）
• Unicodeによる国際化対応などを盛り込んだLDAP v3に準拠
• 数多くのLinuxディストリビューションで標準のLDAPサーバとして採用されている
• 様々なアプリケーションとの連携が可能

導入事例

OpenLDAPは、多くのLinuxディストリビューションに含まれて提供されている最も導入実績があるオープンソースのLDAPサーバとして、中小から大規模まで、さまざまな業種・システムで幅広く利用されています。

メリット・デメリット