OpenLDAP 2.4 for Linux/Solaris/AIX

ディレクトリサービスにより、Linux/Unix/Windows/Mac の各種サービス(共有、メール、Web サービスなど) の認証統合を可能にします。

• 最新のOpenLDAP2.4系を採用し、商用Linux同梱のOpenLDAPよりも数々の不具合が修正されています。
  • OpenLDAP 2.3系は2008年07月でメンテナンスが終了していますので、それ以降に発生した以下のような問題すべてが2.3では放置されています。
    • CVE-2009-3767
      OpenLDAPがSSL証明書を検証する際に、CNにNULL文字が含まれていた場合、検証すべき文字列をNULL文字までで区切ってしまう問題です。これにより、NULL文字をCNに含めた形の証明書をCAから取得できた攻撃者は本来のサイトとは異なるにもかかわらず、正規のサイトとして誤認させることが可能です。
    • CVE-2008-2952
      OpenLDAP の liblber/io.c には、ASN.1 BER データグラムの処理に不備があり、サービス運用妨害 (DoS) の脆弱性があります。
    • CVE-2008-0658, CVE-2007-6698
      OpenLDAPのslapdデーモンが、NOOPコントロールを含むmodifyとmodrdnリクエストをBerkeley DB (BDB)ストレージバックエンドに格納されていたオブジェクトへ送ってしまう問題を修正しています。権限を持ち認証を通過した攻撃者がこれらのLDAPオブジェクトにmodifyもしくはmodrdnリクエストを送るとslapdが異常終了するため、サービス拒否攻撃が可能となる問題です。
• バックエンドデータベース：Berkeley DB (BDB) 4.8.24を採用し、高性能・高品質
  • 高負荷でデータが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。
• 商用Linux同梱のOpenLDAPには同時接続数として1024や4096という制限がありますが、弊社製品は16384接続まで拡大してあり、大規模システムでの運用に適しています。
• パスワードポリシーの強化
  • 通常のLDAP（ldapadd,ldapmodifyなどのコマンドやAPI）操作でuserPassword属性の追加・変更した場合は、指定された属性値がそのまま設定されます。
    平文パスワードであれば平文パスワードのまま、ハッシュ化されたパスワードであればハッシュ化されたパスワードのままです。
    OSSTechが提供するOpenLDAP2.4ではパスワードポリシーオーバーレイモジュールを使うことで、平文パスワードの場合に自動的にハッシュ化してから格納させることが可能になります。
  • オープンソース・ソリューション・テクノロジ株式会社独自の修正内容、改良項目も参考下さい。
• マルチ・マスター・レプリケーション対応（品質検証済み）
• 高速で安定したシングル・マスター(syncrepl)レプリケーション対応（品質検証済み）
• １０万～５０万ユーザでの安定動作を検証済み
• キャッシュアクセスを独自改良し、高速化
• LDAPベンチマーク（SLAMD）により、１秒間にLDAPデータ検索３万４千、LDAPデータ追加性能５７０件以上を達成

図１．OSSTech製OpenLDAPとオリジナルOpenLDAP／商用LDAP製品とのLDAP検索性能比較

図２．OSSTech製OpenLDAPとオリジナルOpenLDAP／商用LDAP製品とのLDAPデータ追加性能比較

※ 性能測定環境

• サーバー： Dell PowerEdge R710
• CPU： Intel Xeon E5530 2.40GHz × 2個 （Quad Core、HyperThreading有効）
• Memory： DDR3 32GB
• HDD： SAS RAID5構成
• OS：RedHat Enterprise Linux 5.4 (x86 64ビット版)

• レッドハット社 Red Hat Enterprise Linux 5
• サン・マイクロシステムズ社 Solaris 10 （Sparc版およびIntel版）
• アイ・ビー・エム社 AIX 6.1
• CentOS 5

※その他OSはお問い合わせください。

OpenLDAPはディレクトリサービス、特に X.500 ベースのディレクトリサービスにアクセスするための軽量プロトコルLDAPをサポートした製品で、電話帳などを始めとするディレクトリサービス、マルチプラットフォームの認証統合を実現します。

LDAP は TCP/IP あるいは他の接続指向の転送サービスの上で動作し、LDAPv2 と LDAPv3 の両方をサポートしています。

OpenLDAPはLDAPv3の持つ以下の機能をもっています。

• SASL による厳密認証とデータセキュリティサービス
• TLS (SSL)による証明書認証とデータセキュリティサービス
• Unicode による国際化対応
• 紹介(referral)と継続(continuation)
• スキーマ開示
• 拡張性(コントロールや拡張操作など)

また、OpenLDAPは以下の特徴を持ちます。

• IPv4 も IPv6 も Unix IPC もサポートします。
• Simple Authentication and Security Layer: SASL を利用して厳密認証とデータセキュリティ(完全性と機密性)サービスをサポートします。
• SASL の実装は、DIGEST-MD5, EXTERNAL, GSSAPI などの機構をサポートする Cyrus SASL ソフトウェアを利用しています。
• Transport Layer Security: TLS (あるいは SSL)を利用して証明書ベースの認証とデータセキュリティ(完全性と機密性)サービスをサポートします。TLS の実装は OpenSSL ソフトウェアを利用しています。
• アクセス制御:高度で強力なアクセス制御機能を提供します。この機能によりデータベース内の情報へのアクセスを制御できます。LDAP の認可情報、IP アドレス、ドメイン名などといった基準を基にしてエントリへのアクセスを制御でき、静的 と 動的 の両方のアクセス制御情報をサポートします。
• 国際化
  • Unicode と言語タグをサポートします。
• 複数のデータベース実体:同時に複数のデータベースを扱うように設定できます。つまり、LDAP ツリーの論理的に異なる部分についての要求に単一応答できます。この LDAP ツリーの各部には、同じバックエンドデータベースを使ってもよいですし、違うデータベースバックエンドを使ってもかまいません。
• 汎用モジュール API: さらなるカスタム化が必要な場合を想定して、容易に独自のモジュールを書けるようになっています。 OpenLDAPはフロントエンドとモジュールの二つの部分から成っています。フロントエンドは LDAP クライアントとのプロトコル通信を処理します。モジュールはデータベース操作のような特定の作業を処理します。これら二つの部分の間では、よくできた C API を使ってやりとりされるので、多くの手段で拡張する独自のカスタムモジュールを開発できます。また、プログラム可能なデータベース も提供されています。これを使えば、人気のあるプログラミング言語 (Perl, shell, SQL, TCL)を使って外部のデータソースをOpenLDAPで扱えるようにできます。
• スレッド:は高速化のためにスレッドに対応しています。マルチスレッド化された単一のプロセスが、スレッドのプールを用いてクライアントのすべての要求を処理します。これにより、多くのシステムのオーバヘッドを減らし、高速化を実現します。
• 代理キャッシュ: slapd は キャッシュ LDAP 代理サービスとなるように設定できます。
• 設定: slapd は高度に設定が可能です。設定は単一の設定ファイルをとおして行い、変更したいとこだけを変更できるようになっています。設定ディレクティブには妥当なデフォルト値を持っているので、設定作業が実に容易になっています。

• 同時接続数拡大
  • OpenLDAP2.2には同時接続数として1024という制限がありますが、弊社製品は16384接続まで拡大してあり、大規模システムでの運用に適しています。
• BDB破壊の防止
  • BerkeleyDB (BDB)のバージョンを最新の 4.8.24にし、高負荷でデータが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。

• 数多くのOpenLDAPの不具合を修正
  • OpenLDAP 2.2.13以前ではスレーブのentryUUIDが適切に格納されていないという不具合があるため、マスター（プロバイダ）のデータが壊れた場合、スレーブ（コンシューマ）のデータをslapcatして、マスターへslapaddすることができません。
    スレーブからldapsearchで取り出したデータを元にすべてのマスター、スレーブを再構築する必要があります。
    弊社製のOpenLDAPパッケージはこの問題を修正しています。
• パスワードポリシー機能の強化
  • OSSTech社のOpenLDAPおよびSambaは独自にパスワードポリシーの強化を行っています。

※）注記

• 1）標準OpenLDAPとは、http://www.openldap.org/で公開されているオリジナルソースを元にリリースされているLinuxディストリビューション付属のパッケージを指します。
• 2）標準Sambaとは、http://www.samba.org/で公開されているオリジナルソースを元にリリースされているLinuxディストリビューション付属のパッケージを指します。
• 3) クライアント側が LDAP パスワードポリシーコントロールに対応している必要があります。
• 4) WindowsクライアントがSambaのドメインに参加している必要があります。 ワークグループ構成では利用できません。デフォルトではパスワード期限切れ14日前に通知されますが、これを変更するにはWindowsクライアントのレジストリを変更する必要があります。Sambaサーバー側で設定することはできません。

• delta-syncrepl実行時に正常にレプリケーションされない問題を修正(ITS#6405)
• slapdのグルーバル設定に対する変更が、slapdを再起動しなければ反映されない問題を修正 (ITS#6428)
• slapdがSSL/TLS接続時にループに陥る問題を修正 (ITS#6412)
• slapdでsyncreplの設定の複製時にでスレッドキュー内のタスクが削除される問題を修正 (ITS#6413)
• TLS通信において、デフォルトのTLS サーバー証明書の要求動作がドキュメントとは異なる問題を修正 (ITS#6419)
• syncreplで、未初期化の変数を利用している問題を修正 (ITS#6425)
• slapdの設定処理において、CPUが高負荷状態になりハングする問題を修正(ITS#6408)
• ddynlistオーバーレイで括弧のないシンプルフィルタが渡された際の挙動を修正 (ITS#6421)
• ldifオーバーレイでslapd.confで指定したデータベースディレクトリの親ディレクトリにも書き込みできてしまう問題を修正 (ITS#6414)
• translucentオーバーレイで、NULLポインタ参照により異常終了する問題を修正 (ITS#6403)
• uniqueオーバーレイとppolicyオーバーレイを併用した際に、パスワード変更ができない問題を修正 (ITS#6270)

• パッケージ製品価格：10万円（税込み：10万5千円）／ノードあたり
• サポート料金：24万円／年（税込み：25万2千円／年）／システム単位