国立大学法人 北陸先端科学技術大学院大学 様
大学のさまざまなサービスを提供する上で必須となる認証システムについてOSSTech製品の採用により、使い勝手に優れた統合認証基盤システムを実現
OpenAM
Unicorn ID Manager
OpenLDAP
OpenLDAP は LDAP を実装した製品です。 LDAP はディレクトリサービスを実現するためのプロトコルです。 ディレクトリサービスにより、ユーザーアカウントやアドレス帳などの各種情報を一元的に保存、管理することが可能です。 また、メールサーバーやファイルサーバーなどがディレクトリサービスに接続し、各種情報を利用することが可能です。 これにより、アカウント情報等を各サーバーで保持する必要がないため、認証の統合が実現できます。
LDAP v3 に準拠 (TLS/SSL や Unicode による国際化などに対応しています)
シングル・マスター/マルチ・マスター・レプリケーションに対応
高度なアクセス制御機能 (IPアドレス、ドメイン名、接続するエントリごと、など詳細な制御ができます)
商用Linux同梱版やコミュニティ版のOpenLDAPの機能に加えて、弊社OSSTechがご提供するOpenLDAP には以下の機能が追加されています。
Windows Active Directoryとの双方向のパスワード同期
Windows Active Directory側に追加モジュールをインストールする必要なく、OpenLDAPとの双方向のパスワード同期が可能です。
Active Directory側でパスワード変更しても、OpenLDAP側でパスワード変更しても双方向にパスワード同期されます。
障害や誤操作によるデータ破壊に備えた自動バックアップ機能の提供
(LDIFとldapmodifyを使ったconfig dbによる設定ではなく)テキストベースのslapd.confファイルによる設定
バックエンドデータベースに MDB, WiredTiger を採用
IPv4 / IPv6 / Unix IPC をサポート
Transport Layer Security
アクセス制御
国際化
複数のデータベース実体
汎用モジュール API
スレッド
代理キャッシュ
設定
コミュニティ版や商用 OS 同梱の OpenLDAPにはない独自のチューニングや機能を追加。商用・大規模システムでの運用に適しています。
WiredTiger バックエンドの採用
PBKDF2 / SHA-2 パスワードハッシュ対応
psync オーバーレイの追加
Windows Active Directory と OpenLDAP で双方向にパスワードを同期します。
Windows Active Directory側に追加モジュールをインストールする必要はありません。
バックアップスクリプトにより、定期的にデータのバックアップを取得
運用管理に便利なコマンドを同梱しています。
slapdbbackup:LDAP DIT データのバックアップコマンド
ldifdiff:属性の順序、大文字/小文字を無視したLDIFの中身比較コマンド
ldifsort:DNの名前順にLDIFの中身を並べ替えするコマンド
ldifunwrap:1つの属性が複数行になってしまったLDIFを1行に戻すコマンド
ldifunbase64: LDIF データ中の Base64 エンコードされたテキストデータをデコードするコマンド
ldapvi:テキストエディターによる LDAP DIT の編集コマンド
パスワードポリシー機能の強化
OSSTech 社の OpenLDAP は独自にパスワードポリシーの強化を行っています。
パスワードポリシー機能 | OSSTech版 | 標準OpenLDAP *1 |
---|---|---|
パスワードのハッシュ化 | ○ *2 | ○ |
パスワードの有効期限の指定 | ○ | ○ |
パスワードの変更禁止期間の指定 | ○ | ○ |
パスワード最小文字数の指定 | ○ | ○ |
パスワードの期限切れの事前警告期間の指定 | ○ *3 | ○ *3 |
認証失敗時のアカウントロック | ○ | ○ |
アカウントロックされる認証失敗回数の指定 | ○ | ○ |
アカウントロックが解除される期間指定 | ○ | ○ |
認証失敗回数のカウンターがリセットされる期間の指定 | ○ | ○ |
初回認証時のパスワード変更要求 | ○ | ○ |
パスワード履歴の記録 (履歴に残っているパスワードは使用不可能) | ○ | ○ |
期限切れパスワードによる認証(bind)の最大回数指定 (パスワード有効期限が切れた後に許可するログインの回数) | ○ | ○ |
パスワードの複雑性のチェック | ○ | △(文字数制限のみ) |
パスワードに含まれる文字種の最小数指定 | ○ | × |
パスワードに含まれる英文字の最小数指定 | ○ | × |
パスワードに含まれる英大文字の最小数指定 | ○ | × |
パスワードに含まれる英小文字の最小数指定 | ○ | × |
パスワードに含まれる数字の最小数指定 | ○ | × |
パスワードに含まれる記号の最小数指定 | ○ | × |
外部プログラムによるパスワードの複雑性のチェック | ○ | × |
※)注記
1)標準 OpenLDAPとは、https://www.openldap.org/ で 公開されているオリジナルソースを元にリリースされている Linuxディストリビューション付属のパッケージを指します。
すべて RPM (Red Hat Package Manager)形式で提供します。
OSSTech製 OpenLDAPは、エクスジェン・ネットワークス株式会社の LDAP Manager のメタディレクトリとして利用可能です。
OSSTech製 OpenLDAPは、日本ヒューレット・パッカード合同会社の HPE IceWall の認証DBとして利用可能です。
OSSTech版 OpenLDAP 2.4 の情報はこちらです。
この製品・サービスを導入頂いている企業様導入事例をご紹介します。
世界を代表する国内組織や大手企業など堅牢なセキュリティが求められる環境で多数の実績を有しています。
大学のさまざまなサービスを提供する上で必須となる認証システムについてOSSTech製品の採用により、使い勝手に優れた統合認証基盤システムを実現
OpenAM
Unicorn ID Manager
OpenLDAP
Samba を導入し、ICカードのみでWindowsログオンOpenAMとの連携でWebアプリに自動ログインID/パスワード不要のシングルサインオン環境を実現
OpenAM
Samba
OpenLDAP
クラウドはOpenAMでシングルサインオン、イントラネットはSambaやOpenLDAPで統合認証ID管理も認証基盤もすべてオープンソースで構築
OpenAM
Samba
Unicorn ID Manager
OpenLDAP
Mailman
「OpenAM」「OpenLDAP」の導入により、さまざまなサービスの認証を統合他社でも使える共通ID「IIJ ID」の普及を目指す
OpenAM
OpenLDAP