LDAPとは何か?

その他のプロトコル同様、LDAPの安全性は、実装状態に依存します。参照すべきベストプラクティスは多数存在しますが、ディレクトリにセキュリティ上重要な方法が保存されている場合は特に注意が必要です。

• LDAPリクエストおよび応答の暗号化にはSSLやTLSを使用します。
• LDAP認証を使用する場合、パスワードをプレーンテキストとして保存しないでください。その代わりに、暗号化が強力なハッシュ関数を使用します。
• アクセス制御ポリシーを確立します。例えば、書き込みの権限は管理者のみに付与するなどです。
• 単一障害点がないようにします。ディレクトリデータのレプリケーションは複数維持しておきます。
• 入念に設定されたファイアウォールを使用して、ディレクトリサービスへのアクセスを管理します。
• LDAPディレクトリへのアクセスログを記録し、異常がないか監査を行います。

LDAP認証とは何か?

LDAP認証とは、OpenLDAPやMicrosoft Active Directoryなどのディレクトリサービスに保存されたユーザ名およびパスワードを検証するプロセスです。管理者はディレクトリ内でユーザアカウントを作成し、権限を付与することができます。

ユーザがリソースにアクセスを試みると、リクエストがLDAP認証サーバに送信されます。LDAPサーバは入力されたユーザ名とパスワードを、ディレクトリ内のデータと照合します。一致した場合、サーバはリクエストしたリソースにアクセスするための承認をユーザが受けているかどうかを確認します。

LDAPとActive Directoryの比較

LDAPとActive Directoryという用語は同じように使われる場合がありますが、これらは同じではありません。Active Directoryは、Microsoftが開発した独自のディレクトリサービスです。認証と、ネットワークリソースに関する情報の保存に使用できます。LDAPは、Active Directory内のオブジェクトの作成またはクエリに使用されるプロトコルの1つです。

簡単に言うと、LDAPはディレクトリサービスに話しかける言語であり、Active Directoryはそのディレクトリサービスの1つだということです。

仮想LDAP（VLDAP）とは何か?

仮想LDAP（別名LDAP-as-a-Service）は、クラウドでホストおよび管理されるLDAPです。これを使用すると、組織は社内LDAPサーバを実行および維持することなく、クラウド対応LDAPアプリケーションを構築できるようになります。あらゆるアプリケーションおよびサービスは、クラウドにホストされたLDAPディレクトリと統合できます。

これには多くのメリットがあります。

• さまざまなディレクトリと統合することなく、異なるディレクトリのデータをまとめた1つの仮想LDAPサービスと統合します。唯一の正しい情報源を構築します。
• 自在にスケーリングできます。必要に応じて新しいサーバを多数立ち上げ、成長を続けるデータセットに対応できます。
• LDAPなどのレガシープロトコルを廃止することなくデジタル変革計画を開始することができる。

LDAPは、重要な情報やリソースへのセキュアなアクセスをシンプル化する標準プロトコルです。LDAPディレクトリは、適切に設定することで、生産性と効率性を向上させることができます。組織は長年にわたり、インフラストラクチャでLDAPを使用してきました。仮想LDAPが現実に利用できるようになったことで、人気があり広く使われているLDAPがすぐに廃れることはないでしょう。