OpenLDAP 2.4 for Linux/AIX

OpenLDAP

ディレクトリサービスにより、Linux/Unix/Windows/Mac の各種サービス(ファイル共有、メール、Web サービスなど) の認証統合を可能にします。

概要

OpenLDAP は LDAP を実装した製品です。 LDAP はディレクトリサービスを 実現するためのプロトコルです。ディレクトリサービスにより、 ユーザーアカウントやアドレス帳などの各種情報を一元的に保存、管理することが可能です。 また、メールサーバーやファイルサーバーなどがディレクトリサービスに接続し、 各種情報を利用することが可能です。これにより、アカウント情報等を各サーバーで 保持する必要がないため、認証の統合が実現できます。

OpenLDAP の特徴

  • LDAP v3 に準拠 (TLS/SSL や Unicode による国際化などに対応しています)
  • シングル・マスター/マルチ・マスター・レプリケーションに対応
  • 高度なアクセス制御機能 (IP アドレス、ドメイン名、接続するエントリごと、など詳細な制御ができます)

OSSTech独自の特長と機能

商用Linux同梱版やコミュニティ版のOpenLDAPの機能に加えて、弊社OSSTechがご提供する OpenLDAP には以下の機能が追加されています。

  • Windows Active Directoryとの双方向のパスワード同期
    • Windows Active Directory側に追加モジュールをインストールする必要なく、OpenLDAPとの双方向のパスワード同期が可能です。
    • Active Directory側でパスワード変更しても、OpenLDAP側でパスワード変更しても双方向にパスワード同期されます。
  • 障害や誤操作によるデータ破壊に備えた自動バックアップ機能の提供
  • (LDIFとldapmodifyを使ったconfig dbによる設定ではなく)テキストベースのslapd.confファイルによる設定
  • バックエンドデータベースに Berkeley DB (BDB) 4.8.30 を採用
    • 旧バージョンにおけるデータ破壊、プロセスのハングアップ、リカバリーできないなどの数々の不具合を修正しています。
  • PBKDF2 / SHA-2 パスワードハッシュ対応
  • LDAP ベンチマーク(SLAMD)により、1秒間に LDAP データ検索 3万4千、LDAP データ追加性能 570件以上の性能を実証済み
  • 10万~50万ユーザーでの安定動作を検証済み

図1. OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品との LDAP 検索性能比較

図1.OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品との LDAP 検索性能比較

図2. OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品との LDAP データ追加性能比較

図2.OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品との LDAP データ追加性能比較

※ 性能測定環境

  • サーバー: Dell PowerEdge R710
  • CPU: Intel Xeon E5530 2.40GHz × 2個 (Quad Core、Hyper Threading 有効)
  • Memory: DDR3 32GB
  • HDD: SAS RAID5 構成
  • OS:Red Hat Enterprise Linux 5.4 (x86_64)

製品詳細

仕様詳細

  • IPv4 / IPv6 / Unix IPC をサポート
  • Simple Authentication and Security Layer: SASL を利用して厳密認証とデータセキュリティ(完全性と機密性)サービスをサポート。
  • SASL の実装は、DIGEST-MD5, EXTERNAL, GSSAPI などの機構をサポートする Cyrus SASL ソフトウェアを利用しています。
  • Transport Layer Security: TLS (あるいは SSL)を利用して証明書ベースの認証とデータセキュリティ(完全性と機密性)サービスをサポートします。
  • アクセス制御:高度で強力なアクセス制御機能を提供します。この機能によりデータベース内の情報へのアクセスを制御できます。LDAP の認可情報、IP アドレス、ドメイン名などといった基準を基にしてエントリへのアクセスを制御でき、静的 と 動的 の両方のアクセス制御情報をサポートします。
  • 国際化
    • Unicode と言語タグをサポートします。
  • 複数のデータベース実体: 同時に複数のデータベースを扱うように設定できます。つまり、LDAP ツリーの論理的に異なる部分についての要求に単一応答できます。この LDAP ツリーの各部には、同じバックエンドデータベースを使ってもよいですし、違うデータベースバックエンドを使ってもかまいません。
  • 汎用モジュール API: さらなるカスタム化が必要な場合を想定して、容易に独自のモジュールを書けるようになっています。 OpenLDAP はフロントエンドとモジュールの二つの部分から成っています。フロントエンドは LDAP クライアントとのプロトコル通信を処理します。モジュールはデータベース操作のような特定の作業を処理します。これら二つの部分の間では、よくできた C API を使ってやりとりされるので、多くの手段で拡張する独自のカスタムモジュールを開発できます。また、プログラム可能なデータベース も提供されています。これを使えば、人気のあるプログラミング言語 (Perl, shell) を使って外部のデータソースを OpenLDAP で扱えるようにできます。
  • スレッド: 高速化のためにスレッドに対応しています。マルチスレッド化された単一のプロセスが、スレッドのプールを用いてクライアントのすべての要求を処理します。これにより、多くのシステムのオーバヘッドを減らし、高速化を実現します。
  • 代理キャッシュ: slapd は キャッシュ LDAP 代理サービスとなるように設定できます。
  • 設定: slapd は高度に設定が可能です。設定は単一の設定ファイルをとおして行い、変更したいとこだけを変更できるようになっています。設定ディレクティブには妥当なデフォルト値を持っているので、設定作業が実に容易になっています。

OSSTech 社 OpenLDAP 独自の修正・改良項目

コミュニティ版や商用 OS 同梱の OpenLDAP にはない独自のチューニングや機能を追加。商用・大規模システムでの運用に適しています。

  • PBKDF2 / SHA-2 パスワードハッシュ対応
    • より強固なパスワードハッシュ形式に対応。たとえパスワード情報(パスワードハッシュ)が漏洩しても、生パスワードを求めるのが非常に困難になります。
  • psync オーバーレイの追加
    • Windows Active Directory と OpenLDAP で双方向にパスワードを同期します。
    • Windows Active Directory側に追加モジュールをインストールする必要はありません。
  • memberOf オーバーレイへの対応
    • グループ情報に member 属性で所属するユーザ情報が加えられた時に、ユーザー情報の memberOf 属性に所属するグループ情報を自動追加できるため、アクセス制御などを高速化できます。
  • バックアップスクリプトにより、定期的にデータのバックアップを取得
  • 運用管理に便利な ldifdiff, ldifunwrap, ldifsortコマンドを同梱しています。
    • ldifdiff:属性の順序、大文字/小文字を無視したLDIFの中身比較コマンド
    • ldifsort:DNの名前順にLDIFの中身を並べ替えするコマンド
    • ldifunwrap:1つの属性が複数行になってしまったLDIFを1行に戻すコマンド
  • 同時接続数の拡大
    • OpenLDAP は既定で同時接続数 4096 という制限がありますが、弊社製品は 16384 接続まで拡大してあります。
  • BDB 破壊の防止
    • Berkeley DB (BDB)のバージョンを安定版の 4.8.30 にし、高負荷時のデータ破壊、ハングアップ、リカバリできないなどの多くの不具合を修正しています。
  • 数多くの不具合を修正
    • 非同期のスレーブ複製構成を取っている場合、大量の更新を行うとマスターサーバー側でメモリーリークが発生し、マスターサーバーが異常終了する問題を修正しています。
  • LDAP → NIS ゲートウェイ機能 (別途オプション)
    • LDAP DIT に登録されたユーザーやグループ情報を NIS サーバーに提供することができます。
    • NIS サーバーを LDAP に移行する際、LDAP に移行できない NIS クライアントに対応することができます。
  • パスワードポリシー機能の強化
パスワードポリシー機能 OSSTech版 標準OpenLDAP *1
パスワードのハッシュ化 ○ *2
パスワードの有効期限の指定
パスワードの変更禁止期間の指定
パスワード最小文字数の指定
パスワードの期限切れの事前警告期間の指定 ○ *3 ○ *3
認証失敗時のアカウントロック
アカウントロックされる認証失敗回数の指定
アカウントロックが解除される期間指定
認証失敗回数のカウンターがリセットされる期間の指定
初回認証時のパスワード変更要求
パスワード履歴の記録 (履歴に残っているパスワードは使用不可能)
期限切れパスワードによる認証(bind)の最大回数指定 (パスワード有効期限が切れた後に許可するログインの回数)
パスワードの複雑性のチェック △(最小文字数のみ)
パスワードに含まれる文字種の最小数指定 ×
パスワードに含まれる英文字の最小数指定 ×
パスワードに含まれる英大文字の最小数指定 ×
パスワードに含まれる英小文字の最小数指定 ×
パスワードに含まれる数字の最小数指定 ×
パスワードに含まれる記号の最小数指定 ×
外部プログラムによるパスワードの複雑性のチェック ×

※)注記

  • 1)標準 OpenLDAP とは、http://www.openldap.org/ で公開されているオリジナルソースを元にリリースされている Linux ディストリビューション付属のパッケージを指します。
  • 2) passwd コマンド(pam_ldap経由)や ldappasswd コマンド(RFC 3062 の LDAPv3 Password Modify extended operation)でパスワードを設定・変更する場合は新パスワードが平文パスワードのままサーバーに渡されてもサーバーが自動でハッシュ化して userPassword 属性に格納します。しかし、通常の LDAP (ldapadd, ldapmodify などのコマンドや API)操作で LDIF 形式のファイルより userPassword 属性の追加・変更した場合は、指定された属性値がそのまま設定されます。つまり、平文パスワードであれば平文パスワードのまま、ハッシュ化されたパスワードであればハッシュ化されたパスワードのままです。しかし、パスワードポリシー機能を使うことで、平文パスワードで格納しようとした時に自動的にハッシュ化 (SSHA, MD5 など) してから格納させることが可能です。
  • 3) クライアント側が LDAP パスワードポリシーコントロールに対応している必要があります。

動作環境

製品をインストールできる OS

  • Red Hat Enterprise Linux 7 (x86-64)
  • CentOS 7 (x86-64)
  • Red Hat Enterprise Linux 6 (x86-64)
  • CentOS 6 (x86-64)
  • Red Hat Enterprise Linux 5 (x86, x86-64)
  • CentOS 5 (x86, x86-64)
  • IBM AIX 7.1 (POWER)
  • IBM AIX 6.1 (POWER)

※ 上記以外の OS はお問い合わせ下さい。

製品パッケージ形式

Red Hat Enterprise Linux, AIX すべて RPM (Red Hat Package Manager) 形式で提供します。

お申し込み・お問い合わせ

問い合わせ

© 2017 Open Source Solution Technology Corporation, All Rights Reserved.
お問い合わせ: info @ osstech.co.jp