OpenLDAP
統合認証、ディレクトリサービス、シングルサインオンのための必須製品
ディレクトリサービスにより、Linux/Unix/Windows/macOS の各種サービス(ファイル共有、メール、Web サービスなど) の認証統合を可能にします。

ディレクトリサービスにより、Linux/Unix/Windows/macOSの各種サービス(ファイル共有、メール、Web サービスなど)の認証統合を可能にします。

概要

OpenLDAP は LDAP を実装した製品です。 LDAP はディレクトリサービスを実現するためのプロトコルです。 ディレクトリサービスにより、ユーザーアカウントやアドレス帳などの各種情報を一元的に保存、管理することが可能です。 また、メールサーバーやファイルサーバーなどがディレクトリサービスに接続し、各種情報を利用することが可能です。 これにより、アカウント情報等を各サーバーで保持する必要がないため、認証の統合が実現できます。

OpenLDAP の特徴

  • LDAP v3 に準拠 (TLS/SSL や Unicode による国際化などに対応しています)

  • シングル・マスター/マルチ・マスター・レプリケーションに対応

  • 高度なアクセス制御機能 (IP アドレス、ドメイン名、接続するエントリごと、など詳細な制御ができます)

OSSTech独自の特長と機能

商用Linux同梱版やコミュニティ版のOpenLDAPの機能に加えて、弊社OSSTechがご提供するOpenLDAP には以下の機能が追加されています。

  • Windows Active Directoryとの双方向のパスワード同期

    • Windows Active Directory側に追加モジュールをインストールする必要なく、OpenLDAPとの双方向のパスワード同期が可能です。

    • Active Directory側でパスワード変更しても、OpenLDAP側でパスワード変更しても双方向にパスワード同期されます。

  • 障害や誤操作によるデータ破壊に備えた自動バックアップ機能の提供

  • (LDIFとldapmodifyを使ったconfig dbによる設定ではなく)テキストベースのslapd.confファイルによる設定

  • バックエンドデータベースに WiredTiger, Berkeley DB (BDB) を採用

    • 更新性能が要求される環境で有用なWiredTigerバックエンドをご利用いただけます。

    • Berkeley DBにおいては旧バージョンにおけるデータ破壊、プロセスのハングアップ、リカバリーできないなどの数々の不具合を修正しています。

  • PBKDF2 / SHA-2 パスワードハッシュ対応

  • LDAP ベンチマーク(SLAMD)により、1秒間に LDAP データ検索 3万4千、LDAP データ追加性能 570件以上の性能を実証済み

  • 10万~50万ユーザーでの安定動作を検証済み

  • その他、OSSTech 社独自のチューニングや拡張機能の追加

パフォーマンス測定

図1. OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品との LDAP 検索性能比較

図1.OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品とのLDAP 検索性能比較

図2. OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品との LDAP データ追加性能比較

図2.OSSTech 社製 OpenLDAP とオリジナル OpenLDAP/商用 LDAP 製品とのLDAP データ追加性能比較

図3. 各バックエンドごとの認証・検索・更新・登録性能比較

図3. 各バックエンドごとの認証・検索・更新・登録性能比較

※ 性能測定環境

機材構成
サーバーDell PowerEdge R710
CPUIntel Xeon E5530 2.40GHz × 2個 (Quad Core、Hyper Threading 有効)
MemoryDDR3 32GB
HDDSAS RAID5 構成
OSRed Hat Enterprise Linux 5.4 (x86_64)

製品詳細

仕様詳細

  • IPv4 / IPv6 / Unix IPC をサポート

  • Simple Authentication and Security Layer

    • SASLを利用して厳密認証とデータセキュリティ(完全性と機密性)サービスをサポート。
    • SASL の実装は、DIGEST-MD5, EXTERNAL, GSSAPI などの機構をサポートする、Cyrus SASL ソフトウェアを利用しています。
  • Transport Layer Security

    • TLS (あるいはSSL)を利用して証明書ベースの認証とデータセキュリティ(完全性と機密性)サービスをサポートします。
  • アクセス制御

    • 高度で強力なアクセス制御機能を提供します。この機能によりデータベース内の情報へのアクセスを制御できます。 LDAPの認可情報、IPアドレス、ドメイン名などといった基準を基にしてエントリへのアクセスを制御でき、 静的と 動的 の両方のアクセス制御情報をサポートします。
  • 国際化

    • Unicode と言語タグをサポートします。
  • 複数のデータベース実体

    • 同時に複数のデータベースを扱うように設定できます。 つまり、LDAPツリーの論理的に異なる部分についての要求に単一応答できます。 このLDAPツリーの各部には、同じバックエンドデータベースを使ってもよいですし、違うデータベースバックエンドを使ってもかまいません。
  • 汎用モジュール API

    • さらなるカスタム化が必要な場合を想定して、容易に独自のモジュールを書けるようになっています。 OpenLDAPはフロントエンドとモジュールの二つの部分から成っています。 フロントエンドはLDAPクライアントとのプロトコル通信を処理します。 モジュールはデータベース操作のような特定の作業を処理します。 これら二つの部分の間では、よくできたC APIを使ってやりとりされるので、多くの手段で拡張する独自のカスタムモジュールを開発できます。 また、プログラム可能なデータベースも提供されています。 これを使えば、人気のあるプログラミング言語(Perl, shell) を使って外部のデータソースを OpenLDAPで扱えるようにできます。
  • スレッド

    • 高速化のためにスレッドに対応しています。マルチスレッド化された単一のプロセスが、スレッドのプールを用いてクライアントのすべての要求を処理します。これにより、多くのシステムのオーバーヘッドを減らし、高速化を実現します。
  • 代理キャッシュ

    • slapd は キャッシュ LDAP代理サービスとなるように設定できます。
  • 設定

    • slapdは高度に設定が可能です。設定は単一の設定ファイルをとおして行い、変更したいとこだけを変更できるようになっています。設定ディレクティブには妥当なデフォルト値を持っているので、設定作業が実に容易になっています。

OSSTech 社 OpenLDAP 独自の修正・改良項目

コミュニティ版や商用 OS 同梱の OpenLDAP にはない独自のチューニングや機能を追加。商用・大規模システムでの運用に適しています。

  • WiredTiger バックエンドの採用

    • バックエンドにWiredTigerを採用することにより、更新性能が飛躍的に向上しました。
  • PBKDF2 / SHA-2 パスワードハッシュ対応

    • より強固なパスワードハッシュ形式に対応。たとえパスワード情報(パスワードハッシュ)が漏洩しても、生パスワードを求めるのが非常に困難になります。
  • psync オーバーレイの追加

    • Windows Active Directory と OpenLDAP で双方向にパスワードを同期します。

    • Windows Active Directory側に追加モジュールをインストールする必要はありません。

  • memberOf オーバーレイへの対応

    • グループ情報に member 属性で所属するユーザー情報が加えられた時に、ユーザー情報の memberOf 属性に所属するグループ情報を自動追加できるため、アクセス制御などを高速化できます。
  • バックアップスクリプトにより、定期的にデータのバックアップを取得

  • 運用管理に便利なコマンドを同梱しています。

    • slapdbbackup:LDAP DIT データのバックアップコマンド

    • ldifdiff:属性の順序、大文字/小文字を無視したLDIFの中身比較コマンド

    • ldifsort:DNの名前順にLDIFの中身を並べ替えするコマンド

    • ldifunwrap:1つの属性が複数行になってしまったLDIFを1行に戻すコマンド

    • ldifunbase64: LDIF データ中の Base64 エンコードされたテキストデータをデコードするコマンド

    • ldapvi:テキストエディターによる LDAP DIT の編集コマンド

  • 同時接続数の拡大

    • OpenLDAP は既定で同時接続数 4096 という制限がありますが、弊社製品は 16384 接続まで拡大してあります。
  • 数多くの不具合を修正

    • 非同期のスレーブ複製構成を取っている場合、大量の更新を行うとマスターサーバー側でメモリーリークが発生し、マスターサーバーが異常終了する問題を修正しています。
  • LDAP → NIS ゲートウェイ機能 (別途オプション)

    • LDAP DIT に登録されたユーザーやグループ情報を NIS サーバーに提供することができます。

    • NIS サーバーを LDAP に移行する際、LDAP に移行できない NIS クライアントに対応することができます。

  • パスワードポリシー機能の強化

パスワードポリシー機能OSSTech版標準OpenLDAP *1
パスワードのハッシュ化○ *2
パスワードの有効期限の指定
パスワードの変更禁止期間の指定
パスワード最小文字数の指定
パスワードの期限切れの事前警告期間の指定○ *3○ *3
認証失敗時のアカウントロック
アカウントロックされる認証失敗回数の指定
アカウントロックが解除される期間指定
認証失敗回数のカウンターがリセットされる期間の指定
初回認証時のパスワード変更要求
パスワード履歴の記録 (履歴に残っているパスワードは使用不可能)
期限切れパスワードによる認証(bind)の最大回数指定 (パスワード有効期限が切れた後に許可するログインの回数)
パスワードの複雑性のチェック△(最小文字数のみ)
パスワードに含まれる文字種の最小数指定×
パスワードに含まれる英文字の最小数指定×
パスワードに含まれる英大文字の最小数指定×
パスワードに含まれる英小文字の最小数指定×
パスワードに含まれる数字の最小数指定×
パスワードに含まれる記号の最小数指定×
外部プログラムによるパスワードの複雑性のチェック×

※)注記

  • 1)標準 OpenLDAPとは、https://www.openldap.org/ で 公開されているオリジナルソースを元にリリースされている Linuxディストリビューション付属のパッケージを指します。

    1. passwd コマンド(pam_ldap経由)や ldappasswd コマンド(RFC 3062 のLDAPv3 Password Modify extendedoperation)でパスワードを設定・変更する場合は 新パスワードが平文パスワードのままサーバーに渡されてもサーバーが自動でハッシュ化してuserPassword 属性に格納します。 しかし、通常の LDAP (ldapadd,ldapmodify などのコマンドや API)操作で LDIF 形式のファイルよりuserPassword属性の追加・変更した場合は、指定された属性値がそのまま設定されます。 つまり、平文パスワードであれば平文パスワードのまま、ハッシュ化されたパスワードであればハッシュ化されたパスワードのままです。 しかし、パスワードポリシー機能を使うことで、平文パスワードで格納しようとした時に自動的にハッシュ化(SSHA, MD5 など) してから格納させることが可能です。
    1. クライアント側が LDAP パスワードポリシーコントロールに対応している必要があります。

動作環境

製品をインストールできる OS

  • Red Hat Enterprise Linux 8 / CentOS 8 / AlmaLinux 8 / Rocky Linux 8 (x86-64)
  • Red Hat Enterprise Linux 7 / CentOS 7 (x86-64)
  • Amazon Linux 2 (x86-64)

※ 上記以外の OS はお問い合わせ下さい。

ハードウェア要件

  • CPU: Intel Xeon / AMD Ryzen などの x86-64 互換プロセッサー (2 コア以上)
  • メモリ: 4 GB 以上 (性能要件やデータ容量などに依存)
  • ストレージ: 10 GB 以上 (データ容量やログ容量などに依存)

製品パッケージ形式

Red Hat Enterprise Linux, CentOS すべて RPM (Red Hat Package Manager)形式で提供します。

対応製品

OSSTech製 OpenLDAPは、エクスジェン・ネットワークス株式会社の LDAP Manager のメタディレクトリとして利用可能です。

関連情報: 導入事例

この製品・サービスを導入頂いている企業様導入事例をご紹介します。
世界を代表する国内組織や大手企業など堅牢なセキュリティが求められる環境で多数の実績を有しています。

関連情報: 製品ニュース

2021-04-20

サポートニュース

OpenLDAP

update

OpenLDAP のWiredTigerバックエンドの不具合に関する製品アップデートのお知らせ

OSSTech OpenLDAP のアップデート版の提供を開始します。アップデート版では WiredTigerバックエンド利用時の不具合が修正されていますので適用をお願いします。

2021-04-09

サポートニュース

OpenLDAP

update

OpenLDAP のセキュリティ脆弱性と製品アップデートのお知らせ

OSSTech OpenLDAP のアップデート版の提供を開始します。アップデート版では OpenLDAP のセキュリティ脆弱性が修正されていますので適用をお願いします。

2021-03-04

サポートニュース

OpenLDAP

update

OpenLDAP のセキュリティ脆弱性と製品アップデートのお知らせ

OSSTech OpenLDAP のアップデート版の提供を開始します。アップデート版では OpenLDAP のセキュリティ脆弱性が修正されていますので適用をお願いします。

2021-01-20

サポートニュース

OpenLDAP

update

OpenLDAP 2.4.56 マルチマスター環境の異常終了の修正

OSSTech OpenLDAP のアップデート版の提供を開始します。アップデート版では OpenLDAP 2.4.56で発生するマルチマスター環境の不正終了の問題が修正されておりますので適用をお願いします。

2019-06-04

プレスリリース

OpenLDAP

RHEL 8対応のOpenLDAPの製品パッケージとサポート提供を開始するとともに既存OpenLDAPからの移行を支援

RHEL8対応のOpenLDAP の提供と既存OpenLDAP環境からの移行支援を発表しました。

フォームでのお問い合わせ

Go To Top