OpenLDAP は LDAP を実装した製品です。 LDAP はディレクトリサービスを実現するためのプロトコルです。 ディレクトリサービスにより、ユーザーアカウントやアドレス帳などの各種情報を一元的に保存、管理することが可能です。 また、メールサーバーやファイルサーバーなどがディレクトリサービスに接続し、各種情報を利用することが可能です。 これにより、アカウント情報等を各サーバーで保持する必要がないため、認証の統合が実現できます。

OpenLDAP の特長

• LDAP v3 に準拠 (TLS/SSL や Unicode による国際化などに対応しています)
• シングル・マスター/マルチ・マスター・レプリケーションに対応
• 高度なアクセス制御機能 (IPアドレス、ドメイン名、接続するエントリごと、など詳細な制御ができます)

OSSTech OpenLDAP パッケージの機能・特長

コミュニティ版のOpenLDAPの機能に加えて、弊社OSSTechがご提供するOpenLDAP には以下の機能が追加されています。

• Windows Active Directoryとの双方向のパスワード同期
  • Windows Active Directory側に追加モジュールをインストールする必要なく、OpenLDAPとの双方向のパスワード同期が可能です。
  • Active Directory側でパスワード変更しても、OpenLDAP側でパスワード変更しても双方向にパスワード同期されます。
• 障害や誤操作によるデータ破壊に備えた自動バックアップ機能の提供
• (LDIFとldapmodifyを使ったconfig dbによる設定ではなく)テキストベースのslapd.confファイルによる設定
• バックエンドデータベースに MDB, WiredTiger を採用
  • 更新性能が要求される環境で有用なWiredTigerバックエンドをご利用いただけます。
• その他、OSSTech 社独自のチューニングや拡張機能の追加

製品詳細

仕様詳細

• IPv4 / IPv6 / Unix IPC をサポート
• Transport Layer Security
  • TLSを利用して証明書ベースの認証とデータセキュリティ(完全性と機密性)サービスをサポートします。
• アクセス制御
  • 高度で強力なアクセス制御機能を提供します。この機能によりデータベース内の情報へのアクセスを制御できます。 LDAPの認可情報、IPアドレス、ドメイン名などといった基準を基にしてエントリへのアクセスを制御でき、静的と 動的 の両方のアクセス制御情報をサポートします。
• 国際化
  • Unicode と言語タグをサポートします。
• 複数のデータベース実体
  • 同時に複数のデータベースを扱うように設定できます。つまり、LDAPツリーの論理的に異なる部分についての要求に単一応答できます。この複数のLDAPツリーの各部には、同じ種類のバックエンドデータベースを利用することも、異なるバックエンドデータベースを利用することも可能です。
• スレッド
  • 高速化のためにスレッドに対応しています。マルチスレッド化された単一のプロセスが、スレッドのプールを用いてクライアントのすべての要求を処理します。これにより、多くのシステムのオーバーヘッドを減らし、高速化を実現します。
• ハッシュアルゴリズム
  • ユーザーのパスワードを保護するためのハッシュアルゴリズムとして、Argon2、yescript、scrypt、PBKDF2、CRYPT(SHA512)などの強固な方式に対応しています。
• 設定
  • slapdは高度な設定が可能です。設定は単一の設定ファイルをとおして行い、変更したい部分だけを変更できるようになっています。設定ディレクティブには妥当なデフォルト値を持っているので、設定作業が実に容易になっています。

OSSTech 社 OpenLDAP 独自の修正改良項目

コミュニティ版の OpenLDAPにはない独自のチューニングや機能を追加。商用・大規模システムでの運用に適しています。

• WiredTiger バックエンドの採用
  • バックエンドにWiredTigerを採用することにより、更新性能が飛躍的に向上しました。
• psync オーバーレイの追加
  • Windows Active Directory と OpenLDAP で双方向にパスワードを同期します。
  • Windows Active Directory側に追加モジュールをインストールする必要はありません。
• バックアップスクリプトにより、定期的にデータのバックアップを取得
• 運用管理に便利なコマンドを同梱しています。
  • slapdbbackup: LDAP DIT データのバックアップコマンド
  • ldifdiff: 属性の順序、大文字/小文字を無視したLDIFの中身比較コマンド
  • ldifsort: DNの名前順にLDIFの中身を並べ替えするコマンド
  • ldifunwrap: 1つの属性が複数行になってしまったLDIFを1行に戻すコマンド
  • ldifunbase64: LDIF データ中の Base64 エンコードされたテキストデータをデコードするコマンド
  • ldapvi: テキストエディターによる LDAP DIT の編集コマンド
• パスワードポリシー機能の強化
  • OSSTech 社の OpenLDAP は独自にパスワードポリシーの強化を行っています。
  • OpenLDAP 用パスワード品質チェックモジュール (ppolicy-pwdcheck)の使い方

※)注記

• *1 標準 OpenLDAPとは、https://www.openldap.org/ で 公開されているオリジナルソースを元にリリースされている Linuxディストリビューション付属のパッケージを指します。
• *2 passwd コマンド(pam_ldap経由)や ldappasswd コマンド(RFC 3062 のLDAPv3 Password Modify extendedoperation)でパスワードを設定・変更する場合は 新パスワードが平文パスワードのままサーバーに渡されてもサーバーが自動でハッシュ化してuserPassword 属性に格納します。 しかし、通常の LDAP (ldapadd,ldapmodify などのコマンドや API)操作で LDIF 形式のファイルよりuserPassword属性の追加・変更した場合は、指定された属性値がそのまま設定されます。 つまり、平文パスワードであれば平文パスワードのまま、ハッシュ化されたパスワードであればハッシュ化されたパスワードのままです。 しかし、パスワードポリシー機能を使うことで、平文パスワードで格納しようとした時に自動的にハッシュ化(Argon2、CRYPT形式など) してから格納させることが可能です。
• *3 クライアント側が LDAPパスワードポリシーコントロールに対応している必要があります。

パフォーマンス測定

性能測定環境

• AWS EC2 M7i.flex_large (2core/8GBメモリ)

  • ストレージ: gp3

• Red Hat Enterprise Linux 9.6 (x86_64)

• OpenLDAP

  • OSSTech版 OpenLDAP 2.6.10 (mdb / wt)
  • OSSTech版 OpenLDAP 2.5.20 (mdb / wt)
  • loglevel none (LDAP操作ログをファイルに出力しない設定)

• 測定方法

  • LDAPベンチマークツール lb

動作環境

製品をインストールできる OS

• Red Hat Enterprise Linux 10 / AlmaLinux 10 / Rocky Linux 10 (x86-64、ARM64)
• Red Hat Enterprise Linux 9 / AlmaLinux 9 / Rocky Linux 9 / Oracle Linux 9 / Amazon Linux 2023 (x86-64、ARM64)

ハードウェア要件

• CPU: Intel Core / AMD Ryzen などの x86-64 互換プロセッサー ARM64 プロセッサー
• メモリ: 4 GB 以上 (性能要件やデータ容量などに依存)
• ストレージ: 10 GB 以上 (データ容量やログ容量などに依存)

製品パッケージ形式

RPM (Red Hat Package Manager) パッケージ形式で提供します。

公開ドキュメント

OSSTech OpenLDAP 2.5 (旧製品) の情報はこちら