OpenLDAPはディレクトリサービス、特に X.500 ベースのディレクトリサービスにアクセスするための軽量プロトコルLDAPをサポートした製品で、電話帳などを始めとするディレクトリサービス、マルチプラットフォームの認証統合を実現します。

LDAP は TCP/IP あるいは他の接続指向の転送サービスの上で動作し、LDAPv2 と LDAPv3 の両方をサポートしています。

OpenLDAPはLDAPv3の持つ以下の機能をもっています。

• SASL による厳密認証とデータセキュリティサービス
• TLS (SSL)による証明書認証とデータセキュリティサービス
• Unicode による国際化対応
• 紹介(referral)と継続(continuation)
• スキーマ開示
• 拡張性(コントロールや拡張操作など)

また、OpenLDAPは以下の特徴を持ちます。

• IPv4 も IPv6 も Unix IPC もサポートします。
• Simple Authentication and Security Layer: SASL を利用して厳密認証とデータセキュリティ(完全性と機密性)サービスをサポートします。
• SASL の実装は、DIGEST-MD5, EXTERNAL, GSSAPI などの機構をサポートする Cyrus SASL ソフトウェアを利用しています。
• Transport Layer Security: TLS (あるいは SSL)を利用して証明書ベースの認証とデータセキュリティ(完全性と機密性)サービスをサポートします。TLS の実装は OpenSSL ソフトウェアを利用しています。
• トポロジー制御:ネットワークトポロジーを基にソケットへのアクセス制限を設定できます。この機能には TCP wrappers を利用します。
• アクセス制御:高度で強力なアクセス制御機能を提供します。この機能によりデータベース内の情報へのアクセスを制御できます。LDAP の認可情報、IP アドレス、ドメイン名などといった基準を基にしてエントリへのアクセスを制御でき、静的 と 動的 の両方のアクセス制御情報をサポートします。
• 国際化
  • Unicode と言語タグをサポートします。
• データベースバックエンドの選択
  • 選択可能なさまざまなデータベースバックエンドがあります。
  • これらの中には、高速でトランザクション制御可能なデータベースバックエンド BDB、階層構造を持った高速でトランザクション制御可能なデータベースバックエンド HDB、軽量 DBM ベースのバックエンド LDBM、任意のシェルスクリプトに対するデータベースインタフェース SHELL、簡単なパスワードファイルデータベース PASSWD があります。
  • BDB と HDB バックエンドは Sleepycat の Berkeley DB を利用します。
  • LDBMは Berkeley DB あるいは GDBM のどちらかを利用します。
    • ※注）今後、LDBMはサポートされなくなる可能性があります。
• 複数のデータベース実体:同時に複数のデータベースを扱うように設定できます。つまり、LDAP ツリーの論理的に異なる部分についての要求に単一応答できます。この LDAP ツリーの各部には、同じバックエンドデータベースを使ってもよいですし、違うデータベースバックエンドを使ってもかまいません。
• 汎用モジュール API: さらなるカスタム化が必要な場合を想定して、容易に独自のモジュールを書けるようになっています。 OpenLDAPはフロントエンドとモジュールの二つの部分から成っています。フロントエンドは LDAP クライアントとのプロトコル通信を処理します。モジュールはデータベース操作のような特定の作業を処理します。これら二つの部分の間では、よくできた C API を使ってやりとりされるので、多くの手段で拡張する独自のカスタムモジュールを開発できます。また、プログラム可能なデータベース も提供されています。これを使えば、人気のあるプログラミング言語 (Perl, shell, SQL, TCL)を使って外部のデータソースをOpenLDAPで扱えるようにできます。
• スレッド:は高速化のためにスレッドに対応しています。マルチスレッド化された単一のプロセスが、スレッドのプールを用いてクライアントのすべての要求を処理します。これにより、多くのシステムのオーバヘッドを減らし、高速化を実現します。
• 複製:ディレクトリ情報のシャドーコピー(shadow copy) を管理するように設定できます。このシングルマスター/マルチスレーブの複製機構は、シングル構成では要求される可用性と信頼性を提供できないような負荷の高い状況で必要になります。 slapd は LDAP Sync ベースと slurpd(8) ベースの２つの複製メソッドをサポートします。
• 代理キャッシュ: slapd は キャッシュ LDAP 代理サービスとなるように設定できます。
• 設定: slapd は高度に設定が可能です。設定は単一の設定ファイルをとおして行い、変更したいとこだけを変更できるようになっています。設定ディレクティブには妥当なデフォルト値を持っているので、設定作業が実に容易になっています。

• OpenLDAP 2.3.43 (BDBバージョン：4.5.20 ＜不具合修正パッチ適用済＞)

• サン・マイクロシステムズ Solaris 10 （Sparc版およびIntel版）
• Red Hat Enterprise Linux 4, 5
• CentOS 4, 5
• MIRACLE LINUX V4.0

• Microsoft Windows 95/98/Me/NT/2000/2003/XP/Vista/Storage Server
  • （クライアント製品およびサーバ向け製品を含みます）
• Red Hat Enterprise Linux 4, 5
• CentOS 4, 5
• MIRACLE LINUX V4.0
• Mac OS X

その他OSはお問い合わせください。

Red Hat 社がRed Hat Enterprise Linux 3,4,5に標準で同梱しているOpenLDAPに対し、以下の問題が修正されています。

• 同時接続数拡大
  • OpenLDAP2.2には同時接続数として1024という制限がありますが、弊社製品は16384接続まで拡大してあり、大規模システムでの運用に適しています。
• BDB破壊の防止
  • BerkeleyDB (BDB)のバージョンを最新の 4.5.20にし、最新パッチを適用しています。高負荷でデータが破壊する、ハングアップする、リカバリできないなどの多くの不具合を修正しています。

• 数多くのOpenLDAPの不具合を修正
  • 非同期のスレーブ複製構成を取っている場合、大量の更新を行うとマスターサーバー側でメモリーリークが発生し、マスターサーバーが異常終了する問題を修正しています。（メモリーリークの修正）
  • OpenLDAP 2.2.13以前ではスレーブのentryUUIDが適切に格納されていないという不具合があるため、マスター（プロバイダ）のデータが壊れた場合、スレーブ（コンシューマ）のデータをslapcatして、マスターへslapaddすることができません。
    スレーブからldapsearchで取り出したデータを元にすべてのマスター、スレーブを再構築する必要があります。
    弊社製のOpenLDAPパッケージはこの問題を修正しています。

• 悪意のある攻撃者が細工したASN.1データーグラムを送りつけることで、DoS(サービス拒否)を行うことができる可能性のある問題を修正 (CVE-2008-2952) (ITS#5580)
• 競合条件によって、不正なタイムスタンプがreplogファイルに記録されることでslurpdがエントリの変更をスレーブにレプリケーションできない問題を修正 (ITS#5532)
• slapdがソケット処理に関するassertで異常終了する問題を修正(ITS#5489)
• ppolicyオーバーレイの不具合によってsmbk5pwdによるパスワード変更が正常に動作しない問題を修正(ITS#5569)
• クローズされたコネクションに対する処理で、syncprovオーバーレイモジュールがクラッシュを引き起こす問題を修正(ITS#5401, ITS#5565)

• パッケージ製品価格：10万円（税込み：10万5千円）／ノードあたり
• サポート料金：24万円／年（税込み：25万2千円／年）／システム単位