国立大学法人 北陸先端科学技術大学院大学 様
大学のさまざまなサービスを提供する上で必須となる認証システムについてOSSTech製品の採用により、使い勝手に優れた統合認証基盤システムを実現
OpenAM
Unicorn ID Manager
OpenLDAP
OpenLDAP は LDAP を実装した製品です。 LDAP はディレクトリサービスを実現するためのプロトコルです。 ディレクトリサービスにより、ユーザーアカウントやアドレス帳などの各種情報を一元的に保存、管理することが可能です。 また、メールサーバーやファイルサーバーなどがディレクトリサービスに接続し、各種情報を利用することが可能です。 これにより、アカウント情報等を各サーバーで保持する必要がないため、認証の統合が実現できます。
OpenLDAP の特長
- LDAP v3 に準拠 (TLS/SSL や Unicode による国際化などに対応しています)
- シングル・マスター/マルチ・マスター・レプリケーションに対応
- 高度なアクセス制御機能 (IPアドレス、ドメイン名、接続するエントリごと、など詳細な制御ができます)
OSSTech OpenLDAP パッケージの機能・特長
商用Linux同梱版やコミュニティ版のOpenLDAPの機能に加えて、弊社OSSTechがご提供するOpenLDAP には以下の機能が追加されています。
- Windows Active Directoryとの双方向のパスワード同期
- Windows Active Directory側に追加モジュールをインストールする必要なく、OpenLDAPとの双方向のパスワード同期が可能です。
- Active Directory側でパスワード変更しても、OpenLDAP側でパスワード変更しても双方向にパスワード同期されます。
- 障害や誤操作によるデータ破壊に備えた自動バックアップ機能の提供
- (LDIFとldapmodifyを使ったconfig dbによる設定ではなく)テキストベースのslapd.confファイルによる設定
- バックエンドデータベースに MDB, WiredTiger を採用
- 更新性能が要求される環境で有用なWiredTigerバックエンドをご利用いただけます。
- その他、OSSTech 社独自のチューニングや拡張機能の追加
製品詳細
仕様詳細
- IPv4 / IPv6 / Unix IPC をサポート
- Transport Layer Security
- TLSを利用して証明書ベースの認証とデータセキュリティ(完全性と機密性)サービスをサポートします。
- アクセス制御
- 高度で強力なアクセス制御機能を提供します。この機能によりデータベース内の情報へのアクセスを制御できます。 LDAPの認可情報、IPアドレス、ドメイン名などといった基準を基にしてエントリへのアクセスを制御でき、静的と 動的 の両方のアクセス制御情報をサポートします。
- 国際化
- Unicode と言語タグをサポートします。
- 複数のデータベース実体
- 同時に複数のデータベースを扱うように設定できます。つまり、LDAPツリーの論理的に異なる部分についての要求に単一応答できます。この複数のLDAPツリーの各部には、同じ種類のバックエンドデータベースを利用することも、異なるバックエンドデータベースを利用することも可能です。
- 汎用モジュール API
- さらなるカスタム化が必要な場合を想定して、容易に独自のモジュールを書けるようになっています。 OpenLDAPはフロントエンドとモジュールの二つの部分から成っています。 フロントエンドはLDAPクライアントとのプロトコル通信を処理します。 モジュールはデータベース操作のような特定の作業を処理します。 これら二つの部分の間では、よくできたC APIを使ってやりとりされるので、多くの手段で拡張する独自のカスタムモジュールを開発できます。 また、プログラム可能なデータベースも提供されています。 これを使えば、人気のあるプログラミング言語(Perl, shell) を使って外部のデータソースを OpenLDAPで扱えるようにできます。
- スレッド
- 高速化のためにスレッドに対応しています。マルチスレッド化された単一のプロセスが、スレッドのプールを用いてクライアントのすべての要求を処理します。これにより、多くのシステムのオーバーヘッドを減らし、高速化を実現します。
- 代理キャッシュ
- slapd は キャッシュ LDAP代理サービスとなるように設定できます。
- 設定
- slapdは高度な設定が可能です。設定は単一の設定ファイルをとおして行い、変更したい部分だけを変更できるようになっています。設定ディレクティブには妥当なデフォルト値を持っているので、設定作業が実に容易になっています。
OSSTech 社 OpenLDAP 独自の修正改良項目
コミュニティ版や商用 OS 同梱の OpenLDAPにはない独自のチューニングや機能を追加。商用・大規模システムでの運用に適しています。
- WiredTiger バックエンドの採用
- バックエンドにWiredTigerを採用することにより、更新性能が飛躍的に向上しました。
- PBKDF2 パスワードハッシュ対応
- より強固なパスワードハッシュ形式に対応。たとえパスワード情報(パスワードハッシュ)が漏洩しても、生パスワードを求めるのが非常に困難になります。
- SHA-2 パスワードハッシュ対応
- SHA256, SSHA256, SHA384, SSHA384, SHA512, SSHA512 パスワードハッシュに対応。旧式のシステムからのパスワード移行を支援します。
- psync オーバーレイの追加
- Windows Active Directory と OpenLDAP で双方向にパスワードを同期します。
- Windows Active Directory側に追加モジュールをインストールする必要はありません。
- バックアップスクリプトにより、定期的にデータのバックアップを取得
- 運用管理に便利なコマンドを同梱しています。
- slapdbbackup: LDAP DIT データのバックアップコマンド
- ldifdiff: 属性の順序、大文字/小文字を無視したLDIFの中身比較コマンド
- ldifsort: DNの名前順にLDIFの中身を並べ替えするコマンド
- ldifunwrap: 1つの属性が複数行になってしまったLDIFを1行に戻すコマンド
- ldifunbase64: LDIF データ中の Base64 エンコードされたテキストデータをデコードするコマンド
- ldapvi: テキストエディターによる LDAP DIT の編集コマンド
- パスワードポリシー機能の強化
- OSSTech 社の OpenLDAP は独自にパスワードポリシーの強化を行っています。
- OpenLDAP 用パスワード品質チェックモジュール (ppolicy-pwdcheck)の使い方
| パスワードポリシー機能 | OSSTech版 | 標準OpenLDAP *1 |
|---|---|---|
| パスワードのハッシュ化 | ○ *2 | ○ |
| パスワードの有効期限の指定 | ○ | ○ |
| パスワードの変更禁止期間の指定 | ○ | ○ |
| パスワード最小バイト長の指定 | ○ | ○ |
| パスワード最大バイト長の指定 | ○ | ○ |
| パスワードの期限切れの事前警告期間の指定 | ○ *3 | ○ *3 |
| 認証失敗時のアカウントロック | ○ | ○ |
| アカウントロックされる認証失敗回数の指定 | ○ | ○ |
| アカウントロックが解除される期間指定 | ○ | ○ |
| 認証失敗回数のカウンターがリセットされる期間の指定 | ○ | ○ |
| 初回認証時のパスワード変更要求 | ○ | ○ |
| パスワード履歴の記録 (履歴に残っているパスワードは使用不可能) | ○ | ○ |
| 期限切れパスワードによる認証(bind)の最大回数指定 (パスワード有効期限が切れた後に許可するログインの回数) | ○ | ○ |
| パスワードの複雑性のチェック | ○ | △(バイト長制限のみ) |
| パスワードに含まれる文字種の最小数指定 | ○ | × |
| パスワードに含まれる英文字の最小数指定 | ○ | × |
| パスワードに含まれる英大文字の最小数指定 | ○ | × |
| パスワードに含まれる英小文字の最小数指定 | ○ | × |
| パスワードに含まれる数字の最小数指定 | ○ | × |
| パスワードに含まれる記号の最小数指定 | ○ | × |
| 外部プログラムによるパスワードの複雑性のチェック | ○ | × |
※)注記
- *1 標準 OpenLDAPとは、https://www.openldap.org/ で 公開されているオリジナルソースを元にリリースされている Linuxディストリビューション付属のパッケージを指します。
- *2 passwd コマンド(pam_ldap経由)や ldappasswd コマンド(RFC 3062 のLDAPv3 Password Modify extendedoperation)でパスワードを設定・変更する場合は 新パスワードが平文パスワードのままサーバーに渡されてもサーバーが自動でハッシュ化してuserPassword 属性に格納します。 しかし、通常の LDAP (ldapadd,ldapmodify などのコマンドや API)操作で LDIF 形式のファイルよりuserPassword属性の追加・変更した場合は、指定された属性値がそのまま設定されます。 つまり、平文パスワードであれば平文パスワードのまま、ハッシュ化されたパスワードであればハッシュ化されたパスワードのままです。 しかし、パスワードポリシー機能を使うことで、平文パスワードで格納しようとした時に自動的にハッシュ化(CRYPT, PBKDF2 など) してから格納させることが可能です。
- *3 クライアント側が LDAPパスワードポリシーコントロールに対応している必要があります。
パフォーマンス測定
性能測定環境
- AWS EC2 t3.small
- ストレージ: io1
- Red Hat Enterprise Linux 9 (x86_64)
- OSSTech版 OpenLDAP 2.5.12
- 登録ユーザーエントリ数 10万エントリ
- 測定方法
- LDAPベンチマークツール lb
動作環境
製品をインストールできる OS
- Red Hat Enterprise Linux 9 / AlmaLinux 9 / Rocky Linux 9 / Oracle Linux 9 / Amazon Linux 2023 (x86-64、ARM64)
- Red Hat Enterprise Linux 8 / AlmaLinux 8 / Rocky Linux 8 / Oracle Linux 8 (x86-64)
ハードウェア要件
- CPU: Intel Xeon / AMD Ryzen などの x86-64 互換プロセッサー (2 コア以上)
- メモリ: 4 GB 以上 (性能要件やデータ容量などに依存)
- ストレージ: 10 GB 以上 (データ容量やログ容量などに依存)
製品パッケージ形式
RPM (Red Hat Package Manager) パッケージ形式で提供します。
連携対応製品 (例)
OSSTech OpenLDAPは、エクスジェン・ネットワークス株式会社の LDAP Manager のメタディレクトリとして利用可能です。
OSSTech OpenLDAPは、日本ヒューレット・パッカード合同会社の HPE IceWall の認証DBとして利用可能です。
OSSTech OpenLDAPは、株式会社セシオスの Secioss Identity Manager Enterprise / Secioss Access Manager Enterpriseの 認証DBとして利用可能です。
公開ドキュメント
OSSTech OpenLDAP 2.4 (旧製品) の情報はこちら
