Webサイトを快適にご利用いただくためには、IE11以降、Chrome、Firefox、またはSafariをご使用ください。

LDAPとは何か?

知っておくべきすべてのこと

Lightweight Directory Access Protocol(LDAP)は、ベンダー中立のソフトウェアプロトコルで、ネットワーク内の情報やデバイスを検索するために使用されます。組織の一元管理の認証サーバを構築する場合や、社内サーバおよびプリンタへのアクセスをシンプル化したい場合は、LDAPが適しています。

LDAPとは何か?

LDAPとは、ネットワーク内の「ディレクトリサービス」の維持およびアクセスを行うよう設計された標準プロトコルです。ディレクトリサービスとは、ファイル、プリンタ、ユーザ、デバイス、およびサーバなど、さまざまなネットワークリソースを載せた電話帳のようなものです。

例えば、組織内のプリンタすべての情報をディレクトリに保存するなどです。LDAPを使用すると、ユーザは特定のプリンタを検索し、ネットワーク上の場所を確認して、セキュアに接続することができます。

LDAPは、一元管理の認証サーバ構築に広く使用されています。このようなサーバは、ネットワーク内の全ユーザのユーザ名とパスワードを保存しています。LDAPサーバには、あらゆるアプリケーションおよびサービスが、ユーザの認証と承認のために接続することができます。

一般的に、LDAPディレクトリには、定期的にアクセスがあり、ほとんど変更されないデータが保存されます。LDAPは、大型のデータセットであっても極めて高速な読み取りパフォーマンスを実現するよう設計されています。ただし、き込みのパフォーマンスは大きく劣ります。

LDAPの仕組み

LDAPディレクトリに接続する場合、ユーザはデバイスにLDAPクライアントをインストールする必要があります。通常のLDAPワークフローは以下のようになります。

  1. ユーザはクライアントを使用して、LDAPディレクトリとのセキュアな接続を確立します。
  2. ユーザは特定のプリンタの「検索」クエリをディレクトリに送信します。
  3. LDAPディレクトリはユーザを認証します。
  4. ディレクトリ内で検索オペレーションが実行され、要求されたプリンタのアドレスが返されます。
  5. LDAPディレクトリとのセキュアな接続が切断されます。
  6. ユーザはプリンタに接続します。
LDAPの仕組み

LDAPの安全性

その他のプロトコル同様、LDAPの安全性は、実装状態に依存します。参照すべきベストプラクティスは多数存在しますが、ディレクトリにセキュリティ上重要な方法が保存されている場合は特に注意が必要です。

  • LDAPリクエストおよび応答の暗号化にはSSLやTLSを使用します。
  • LDAP認証を使用する場合、パスワードをプレーンテキストとして保存しないでください。その代わりに、暗号化が強力なハッシュ関数を使用します。
  • アクセス制御ポリシーを確立します。例えば、書き込みの権限は管理者のみに付与するなどです。
  • 単一障害点がないようにします。ディレクトリデータのレプリケーションは複数維持しておきます。
  • 入念に設定されたファイアウォールを使用して、ディレクトリサービスへのアクセスを管理します。
  • LDAPディレクトリへのアクセスログを記録し、異常がないか監査を行います。

LDAP認証とは何か?

LDAP認証とは、OpenLDAPやMicrosoft Active Directoryなどのディレクトリサービスに保存されたユーザ名およびパスワードを検証するプロセスです。管理者はディレクトリ内でユーザアカウントを作成し、権限を付与することができます。

ユーザがリソースにアクセスを試みると、リクエストがLDAP認証サーバに送信されます。LDAPサーバは入力されたユーザ名とパスワードを、ディレクトリ内のデータと照合します。一致した場合、サーバはリクエストしたリソースにアクセスするための承認をユーザが受けているかどうかを確認します。

LDAPとActive Directoryの比較

LDAPとActive Directoryという用語は同じように使われる場合がありますが、これらは同じではありません。Active Directoryは、Microsoftが開発した独自のディレクトリサービスです。認証と、ネットワークリソースに関する情報の保存に使用できます。LDAPは、Active Directory内のオブジェクトの作成またはクエリに使用されるプロトコルの1つです。

簡単に言うと、LDAPはディレクトリサービスに話しかける言語であり、Active Directoryはそのディレクトリサービスの1つだということです。

仮想LDAP(VLDAP)とは何か?

仮想LDAP(別名LDAP-as-a-Service)は、クラウドでホストおよび管理されるLDAPです。これを使用すると、組織は社内LDAPサーバを実行および維持することなく、クラウド対応LDAPアプリケーションを構築できるようになります。あらゆるアプリケーションおよびサービスは、クラウドにホストされたLDAPディレクトリと統合できます。

これには多くのメリットがあります。

  • さまざまなディレクトリと統合することなく、異なるディレクトリのデータをまとめた1つの仮想LDAPサービスと統合します。唯一の正しい情報源を構築します。
  • 自在にスケーリングできます。必要に応じて新しいサーバを多数立ち上げ、成長を続けるデータセットに対応できます。
  • LDAPなどのレガシープロトコルを廃止することなくデジタル変革計画を開始することができる。

LDAPは、重要な情報やリソースへのセキュアなアクセスをシンプル化する標準プロトコルです。LDAPディレクトリは、適切に設定することで、生産性と効率性を向上させることができます。組織は長年にわたり、インフラストラクチャでLDAPを使用してきました。仮想LDAPが現実に利用できるようになったことで、人気があり広く使われているLDAPがすぐに廃れることはないでしょう。