OpenLDAPシリーズ(1)LDAPの紹介

クズども · 掲載地 2020/06/21 20:25:32

LDAPとは何ですか?

(1) LDAPとは何かを紹介する前に、まず一つ確認しましょう:「ディレクトリサービスとは何か?」 ”

1. ディレクトリサービスは、フィルタリング機能を備えた記述的で属性ベースの詳細を保持する特別なデータベースです。

2. 動的で柔軟かつ容易に拡張可能であること。

例えば、人事組織・管理、電話帳、アドレス帳などです。

(2) ディレクトリサービスを理解した後、LDAPの導入を見てみましょう。

LDAP(Light Directory Access Portocol)は、X.500標準に基づく軽量ディレクトリアクセスプロトコルです。

ディレクトリとは、クエリ、閲覧、検索に最適化されたデータベースであり、ファイルをファイルディレクトリに似た木構造でデータを整理します。

ディレクトリデータベースはリレーショナルデータベースとは異なり、優れた読み取り性能を持つ一方で書き込み性能が低く、トランザクション処理やロールバックなどの複雑な機能がないため、頻繁に変更されたデータの保存には適していません。つまり、目次はその名前と同じように、本質的にクエリに使われます。

LDAPディレクトリサービスは、ディレクトリデータベースと一連のアクセスプロトコルから成るシステムです。

(3) なぜ使用されるべきか

LDAPはオープンなインターネット標準であり、クロスプラットフォームのインターネットプロトコルをサポートし、業界で広く認知されています。市場やオープンソースコミュニティのほとんどの製品にはLDAPのサポートが追加されているため、この種のシステムでは個別にカスタマイズする必要がなく、LDAPを通じて簡単に設定して認証しサーバーとやり取りするだけで済みます。「シンプルかつ粗雑」は、繰り返しの開発やドッキングのコストを大幅に削減できます。

LDAPの主な製品:

メーカー	製品	紹介
太陽	SUNONEディレクトリサーバー	テキストデータベースベースの保存、高速通信。
IBM	IBMディレクトリサーバー	DB2ベースのデータベースは平均的な速度を持っています。
ノヴェル	ノベル・ディレクトリ・サーバー	テキストデータベースベースの保存は高速であり、あまり使われていません。
マイクロソフト	Microsoft Active Directory	WINDOWSシステムユーザーによると、大量のデータ処理速度は平均的ですが、保守が容易で、大規模なエコシステムを持ち、管理も比較的簡単です。
オープンソース	オープンソース	OpenLDAPは高速ですが主流のアプリケーションではないオープンソースプロジェクトです。

LDAPの基本モデル

すべてのシステムやプロトコルには独自のモデルがあり、LDAPも例外ではありません。LDAPの基本モデルを理解する前に、いくつかのLDAPディレクトリツリーの概念を理解する必要があります。

(1) カタログツリーの概念

1. ディレクトリツリー:ディレクトリサービスシステムでは、ディレクトリ情報セット全体をディレクトリ情報木として表現でき、ツリー内の各ノードはエントリとなります。

2. エントリー:各エントリーはレコードであり、それぞれ固有の識別可能な名前(DN)を持ちます。

3. オブジェクトクラス:エンティティ型に対応する属性の集合で、オブジェクトクラスは継承可能であり、親クラスの必要な属性も継承されます。

4. 属性:エントリのある側面の情報を記述します。属性は属性タイプと1つ以上の属性値で構成され、属性には必須属性と非必須属性があります。

(2) DC、UID、OU、CN、SN、DN、RDN

キーワード:	英語でのフルネーム	意味
DC	ドメインコンポーネント	ドメイン名の部分は、完全なドメイン名の形でいくつかの部分に分かれており、例えば example.com ドメイン名はdc=example、dc=com(レコードの所在地)となります
UID	ユーザーID	ユーザーID songtao.xu(レコードのID)
OU	組織ユニット	組織単位、組織単位は「oaグループ」(記録が属する組織)など、さまざまなオブジェクト(他の組織単位を含む)を含むことがあります
CN	俗称	「トーマス・ヨハンソン」(レコード名)などのパブリックネーム
sn	姓	「Xu」のような姓
DN	名誉	"uid=SongTao.XU,ou=OA group,dc=example,dc=com"、レコードの所在地(一意)
RDN	相対 dn	相対識別はファイルシステムの相対パスに似ており、ディレクトリツリー構造の一部であり、例えば「uid=tom」や「cn=Thomas Johansson」のように、それとは関係ありません

OpenLDAPの紹介

LDAPは軽量なディレクトリアクセスプロトコル(LDAP)であり、オープンソースの集中型アカウント管理アーキテクチャの実装であり、多くのシステムバージョンをサポートし、多くのインターネット企業に採用されています。

LDAPは、データの読み込み、閲覧、検索に良い効果を持つ特別なデータベースシステムであるディレクトリサービスを提供する・実装です。ディレクトリサービスは一般的に属性に基づく記述情報の格納や高度なフィルタリング機能のサポートに使われますが、OpenLDAPディレクトリサービスは汎用データベースの大量更新操作に必要な複雑なトランザクション管理やロールバックポリシーをサポートしていません。

LDAPにはX.500とLDAPの2つの標準があります。 OpenLDAPはX.500標準に基づいており、X.500の複雑な機能を排除し、独自のニーズに応じて追加の拡張でカスタマイズ可能ですが、X.500とは異なる点もあります。例えば、OpenLDAPはTCP/IPプロトコルをサポートしています。現在、インターネット上のインターネットにアクセスするためのプロトコルはTCP/IPです。

OpenLDAPは、よりシンプルで一般的なTCP/IPやその他の信頼性の高いトランスポートプロトコル層上で直接動作でき、OSIセッション層やプレゼンテーション層でのオーバーヘッドを回避し、接続確立やパケット処理をより簡単かつ高速にし、インターネットやエンタープライズネットワークアプリケーションに最適です。

OpenLDAPディレクトリ内の情報は木構造の階層構造(DNSに似ています)で格納され、最上層は「基本DN」と呼ばれ、「dc=mydomain, dc=org」や「o=mydomain.org」などです。前者はより柔軟でWindows ADでも使用されます。ルートディレクトリの下には多くのファイルやディレクトリがあり、これらの大量データを論理的に分離するために、OpenLDAPは他のディレクトリサービスプロトコルと同様にOU(Organization Unit)を使用しています。これは部門などの社内組織を表すだけでなく、機器や人員などを表すためにも利用できます。同時に、OUはサブOUも持つことができ、これはより詳細な分類を表すために使われます。

OpenLDAPの各レコードには他のレコードと区別する固有の名前、DN(Distinguished Name)があり、「リーフ」の部分はRDN(Relative Identifier of User Entry)と呼ばれます。例えば、dn:cn=tom、ou=動物、dc=ilanni、dc=comはRDN、そしてRDNはOU内で一意でなければなりません。

デフォルトでは、OpenLDAPはバックエンドデータベースとしてBerkeley DBを使用し、Berkeley DBデータベースは主にキーと値ペアなどのハッシュ化されたデータ型の形でデータを保存します。

BerkeleyDBはクエリと読み取りに最適化された特別なタイプのデータベースで、主に検索、閲覧、クエリ操作の更新に使われ、一般的に一度にデータを書き込み、複数回クエリや検索を行うことに良い効果があります。 BerkeleyDBは、トランザクションデータベース(MySQL、MariDB、Oracleなど)がサポートする高並行処理スループットや複雑なトランザクション操作をサポートしていません。

OpenLDAPシリーズ(1)LDAPの紹介

関連記事

閲覧したセクション