Jump to content 日本-日本語
日本HPホーム 製品 & サービス サポート & ドライバー ソリューション ご購入方法
≫  お問い合わせ

製品とサービス  >  ソフトウェアとOS  >  HP- UX Developer Edge

「アイデンティティ管理」のための
Red Hat Directory Server・前編

HP-UX/Integrityサーバー お問い合せ
コンテンツに進む
「アイデンティティ管理」のためのRed Hat Directory Server・前編

ディレクトリ・サービスの位置づけ

ディレクトリ(directory)とは、住所録や電話帳を意味する。つまりディレクトリ・サービスとは、「ネットワーク上の電話帳サービス」と言えば分かりやすいだろう。具体的には、以下のような情報の保管や検索に広く用いられている。
「アイデンティティ管理」のためのRed Hat Directory Server・前編
HP-UXにとっては追い風の「日本版SOX法」
ディレクトリ・サービスの位置づけ

  • ID情報(ユーザ名とパスワード、アクセス権など)
  • 社員名簿(名前、メールアドレス、電話番号、組織名など)
  • PKI(公開鍵基盤)におけるデジタル証明書
  • ネットワーク機器やアプリケーションの設定情報
  • セキュリティ・パッチ情報
ディレクトリ・サービスは、ネットワーク上のOSやアプリケーション、ネットワーク機器などが、さまざまな情報を保管し共有するリポジトリとして利用できるサービスだ。例えばディレクトリ・サービスの登場当初は、メールソフトのアドレス帳を企業内で共有する用途が想定されていた。その後さまざまに応用が広がり、例えばPKI構築時のデジタル証明書の保管場所として用いられるほか、大規模ネットワークでのルータやスイッチの設定情報およびセキュリティ・パッチなどの一括配布、そしてJ2EE開発ではデータベースやメールサーバへ接続するための電話帳サービスとして利用されている。要するにディレクトリ・サービスにどのような情報を保存するかは、ネットワーク管理者やアプリケーション開発者の自由なのである。

図2:ディレクトリ・サービスの用途
図2:ディレクトリ・サービスの用途

とはいえ、ディレクトリ・サービスの使われ方としてもっともポピュラーなのは、やはり「アイデンティティ管理」である。例えば企業のWindows環境において、社員がPCやファイルサーバを利用するためのユーザ名やパスワード、アクセス権などを全PCに個別登録していたのではきりがない。そこで一般的には、Windows 2003 Serverが内蔵するディレクトリ・サーバ「Active Directory」にユーザ名とパスワードを保存しておき、それを各PCから共有することで個別登録の手間を省く。またISP(Internet Service Provider)では、数10万人、数100万人という加入者のユーザ名とパスワードをディレクトリ・サーバで管理し、ダイヤルアップ接続時やADSLモデム接続時、もしくはメールサーバ接続時に同サーバから認証情報を取得するシステム構成が広く用いられている。

ディレクトリ・サーバとLDAP

こうしたディレクトリ・サービスの構築と運用の中核を担うのが、ディレクトリ・サーバと呼ばれるソフトウェアだ。代表的なものとしては、以下の各製品がある。

  • マイクロソフトActive Directory
  • レッドハットRed Hat Directory Server(旧Netscape Directory Server)
  • OpenLDAP(オープンソース)
これらのディレクトリ・サーバは、いずれもディレクトリ・サービスの標準プロトコル「LDAP(Lightweight Directory Access Protocol)」をサポートしており、「LDAPサーバ」とも呼ばれる。よってディレクトリ・サービスを利用するクライアント、すなわちOSやアプリケーション、ネットワーク機器などは、このLDAPプロトコルを通じてディレクトリ・サーバにアクセスし、図3に示すようなツリー構造に基づいて情報の検索・更新・認証を実施する。

図3:LDAPプロトコルのツリー構造
図3:LDAPプロトコルのツリー構造

ちなみに、LDAPサーバの役割は「LDAPプロトコルを通じて情報の検索・更新・認証が行えるサーバ」であり、単純なユーザ認証以上のセキュリティ機能は原則として提供しない。よって、PKIやシングルサインオンといった高度なセキュリティやアクセス管理は、LDAPクライアント側(OSやアプリケーション、ネットワーク機器など)で実装する。例えばアイデンティティ管理の主要な構成要素であるシングルサインオンを実現するには、HP IceWall SSOKerberosといったシングルサインオンのソリューションを組み合わせる必要がある。実際、あるHP-UX + RHDSの導入事例では、RHDSのフロントエンドとしてHP IceWall SSOを用いることで、Webアプリケーションのシングルサインオンを実現している。

ディレクトリ・サーバとデータベース

ここで、「情報の検索・更新・認証の手段ならば、データベースとそれほど違わないのではないか」という疑問も生じるだろう。実のところ、ディレクトリ・サーバは「LDAPプロトコルでアクセスできるデータベース」ととらえることもできる。実際に、ディレクトリ・サーバの多くは軽量なデータベースを内蔵(もしくは外部データベースに接続)することでその機能を実装しており、例えばActive DirectoryはActive Directoryデータベース、そしてRHDSはBerkley DBを内蔵する。その逆に、OracleデータベースをLDAPサーバとして使用するためのオプション製品(Oracle Internet Directory)も存在する。  

とはいえ、ディレクトリ・サーバとデータベースは、それぞれの用途や歴史的経緯によって機能や特性に大きな違いがある。例えばディレクトリ・サーバは検索機能に的を絞って設計されており、頻繁な更新処理やトランザクション処理は想定していないため、その分ソフトウェア全体を軽量に設計することができる。Oracleデータベースなどと比べれば、インストールに必要な手間やリソースも格段に少なくてすむ。また歴史的経緯により、シングルサインオンやセキュリティ管理ソフトウェア、ネットワーク機器の多くがLDAPを標準サポートしているという点も重要である。

ディレクトリ・サーバのもうひとつの特徴として、LDAPという標準プロトコルの存在がある。データベースには(SQL言語やAPIの標準はあるものの)標準プロトコルが存在しないため、データベース接続にはベンダー製のデータベース・ドライバをクライアント側に組み込む必要がある。一方、ディレクトリ・サーバへの接続には特別なドライバは必要ない。LDAPプロトコルさえ実装すれば任意のLDAPサーバに接続でき(ただし実際には製品間の非互換性も存在する)、ベンダー依存度の低いインテグレーションが可能だ。

さらにディレクトリ・サーバでは、汎用のスキーマ(データ構造)が標準化されており、例えばUNIXのアカウント情報をLDAPサーバ上に保存する際の標準スキーマなどが規定されている。そのため、異なるアプリケーションやプラットフォーム間での情報共有が容易だ。これに対しデータベースの場合、スキーマは標準化されておらず、アプリケーション間連携には必ず作り込みが必要となる。

引き続き後編では、HP-UX + RHDSによるディレクトリ・サーバ構築のメリットや、そのポイント、ライセンス形態などを詳解する。
トップへ 戻る    


その他のコラム(特集)もお読み下さい

 
 

本ページの内容は執筆時の情報に基づいており、異なる場合があります。

お問い合わせ

ご購入前のお問い合わせ


ご購入後のお問い合わせ

オンラインサポート
製品の標準保証でご利用いただける無償のサービスです。

ショールーム

ショールーム 導入をご検討のお客様へ
業務アプリケーションの継続・標準化・開発性とシステム担当者様、システム開発者様が抱える悩み・疑問に対する解決策実体験して頂けます。
印刷用画面へ
プライバシー ご利用条件・免責事項 ウェブマスターに連絡