「ディレクトリサービス」と「LDAP」

「ディレクトリサービス」と「LDAP」

■「ディレクトリサービス」とは

ディレクトリサービスとは

ディレクトリサービスとは、ネットワーク上に存在するさまざまなリソース情報を効率的に収集し、ディレクトリというデータベースを用いて一元的に管理するためのサービスです。

リソースとは

リソースには以下のようなものが含まれます。
・デバイス---サーバ、プリンター
・ファイル領域---ボリューム、フォルダ、ファイル
・ユーザー---ユーザー名、所属ユーザーグループ、メールアドレス、電話番号　など

ディレクトリとは

ディレクトリとは、基本的な更新機能のサポートに加えて、検索および参照用に特別に設計された特殊なデータベースです。

ネットワーク上の各リソースはオブジェクトと見なされ、特定のリソースに関する情報(リソース名、ホスト名、IPアドレス、アクセス権限、アイデンティティ情報など)は、そのリソースまたはオブジェクトに関連付けられている属性のコレクションとして格納されます。

ネットワーク上のリソース情報を一元管理

ディレクトリサービスは、特定のOSやプラットフォームに制限されずに、「Windows」「macOS」「Linux」「UNIX」などのOSが混在するシステム環境で一元的なディレクトリ管理機能を提供します。

ディレクトリサービスは共有情報インフラストラクチャとして、ネットワーク上のリソース情報を一元管理できるため、中規模以上のネットワークでの利活用が多く、ディレクトリ情報に基づいてユーザーやアプリケーションからリソースへのアクセスをコントロールできます。

■「LDAP」とは

概要

LDAP(Lightweight Directory Access Protocol)とは、ディレクトリサービスにアクセスするための軽量通信プロトコルです。

LDAPはプラットフォームに依存しないIETF標準トラックプロトコルであり、LDAP技術仕様ロードマップ「RFC4510」で指定されています。

LDAPを使用するディレクトリサービスは「LDAPサービス」とも呼ばれます。

クライアントサーバモデル

LDAPはクライアントサーバモデルを利用します。

1つ以上のLDAPサーバにディレクトリ情報を構成するデータが含まれています。

階層化構造

LDAPにおいて、ディレクトリエントリは階層的なツリーのような構造に配置されます。

伝統的に、この構造は地理的または組織的な境界を反映しており、以下のように階層化されています。

①ツリーの最上部には「国」を表すエントリが表示されます。
②その下には「州」および「国内組織」を表すエントリがあります。
③その下には「組織単位」「人」「プリンタ」「ドキュメント」などのエントリが所属します。

ツリーは、インターネットドメイン名に基づいて配置することもできます。

エントリ照会

LDAPでは、ディレクトリに対するエントリの「追加」「削除」「変更」「エントリ名変更」のための機能が提供されています。しかし、LDAPは、多くの場合、ディレクトリ内の情報を検索するために使用されます。

LDAP検索操作では、検索フィルタで指定されたいくつかの基準に一致するエントリを検索し、基準に一致する各項目から情報を要求できます。

グローバルディレクトリサービス

クライアントはLDAPサーバに接続し問い合わせを行います。

サーバは「回答」もしくは「クライアントが追加情報を入手できる場所へのポインタ(別のLDAPサーバ)」を応答します。

クライアントがどのLDAPサーバに接続していても、LDAPサーバに提示された名前は、別のLDAPサーバと同じエントリを参照します。

このように連鎖的に参照していくことが可能なため、グローバルディレクトリサービスとして機能できます。

セキュリティ

LDAPは、クライアントがLDAPサーバに対して認証または自身の身元を証明するためのメカニズムを提供し、サーバーに含まれる情報を保護するための豊富なアクセス制御機能を提供します。