大塚商会の販売最前線からお届けするセールスノウハウマガジン「BPNavigator」のWEB版です。  
BPNavigator to Go Index Backnumber BP PLATINUM
  Up Front OpinionAnother side Talk巻頭特集Open Source SolutionsソフトウェアライセンスIT活用 売れるショップビジネストレンドイベント  
Open Source Solutions
2005年1月時点の情報を掲載しています。

管理コストの削減とセキュアな環境を実現LDAPによるユーザー情報データベースの統合『OpenLDAP』

サーバOSとしてのLinuxの注目が高まる一方、業務に利用されているOSやシステムは未だWindows環境やMacOS、UNIX等、様々なプラットフォームが混在しているのが現状だ。こうした環境下では、ユーザーアカウントを初めとするディレクトリサービスを、個々のプラットフォームごとに用意する必要があり、セキュリティや管理の面で多くの問題を抱えている。そこで今回は、異なるプラットフォーム間でも、一元的にセキュアかつ可用性が高く、安定したユーザー情報データベースの構築を実現する『OpenLDAP』を紹介する。


多様化するプラットフォーム間のユーザーアカウントを一元管理
 ディレクトリとは本来、電話帳や住所録という意味の言葉であり、UNIXの世界やWindowsの前のMS-DOSでは、ファイル管理の中でよく使われてきた言葉である。
 このディレクトリをファイル管理だけでなくネットワーク管理(ネットワークユーザーやネットワーク資源の管理)にも使えるようにしたものがディレクトリサービスである。ディレクトリサービスは、LDAP(Lightweight Directory Access Protocol)を用いてデータの照会と検索に即応できるように最適化された特殊なデータベースともいえる。
 ディレクトリサービスでは、このサービスを提供するサーバのことをDirectory Server (ディレクトリサーバ)またはLDAPサーバと呼び、Linuxディストリビューションにはオープンソースのアプリケーションとして『OpenLDAP』が同梱されている。
 通常こうしたディレクトリサービスは、OSやプラットフォームごとに異なる仕様のものが用意されている場合が多い。例えば、Windowsネットワークにおいては、「Windows Active Directory」を用いてWindowsのユーザーアカウントを管理し、MacOS環境では「MacOS X Server」によるユーザー認証機能を提供している。そこで問題となるのが複数のOSが混在している環境ではそれぞれユーザー情報データベースを個別に用意しなければならず、運用・管理が煩雑となる。その解決策として注目されているのが『OpenLDAP』を利用したシステムである。これによりユーザー情報データベースを一元的に管理することが可能になり、OSプラットフォームに依存しないユーザー情報データベースを提供することが出来る。
例えば、Windows端末ではsambaのドメイン管理機能と連携することで、同様にUNIXやLinuxではftpやmailでの認証、Mac環境ではMac OSXサーバへのMacログオン認証と連携することでユーザー情報データベースを『OpenLDAP』のサーバに集約しユーザー管理を統合することが可能になる。


ユーザー情報データベース統合で得られる2つのメリット
 『OpenLDAP』を利用してユーザー情報データベースを統合することで改善が期待できるポイントはふたつある。ひとつめはセキュリティの強化だ。様々なプラットフォームごとにユーザーのアカウント情報などを管理している環境では、どうしてもユーザー情報の定期的なメンテナンスを共通のポリシーのもとで実施しなければならず、一元的に管理することは管理者にとって非常に手間が掛かる作業である。メンテナンス作業の煩雑さから既に退職した社員のアカウントやパスワードなどが情報として残っているケースなど、不正アクセスや情報漏洩の温床となることも考えられる。そこで、各ネットワーク環境やプラットフォームごとのユーザー情報データベースを『OpenLDAP』を用いて統合管理することが出来れば、社内のユーザー情報をまとめて管理することが可能となり不正アクセス防止対策に有効だ。
 ふたつめはユーザー管理コストの削減だ。『OpenLDAP』を利用してユーザー情報データベースを統合することで、これまで個別に用意していた「Windows」、「UNIX/Linux」、「MacOS」等のユーザーアカウント情報をサーバごと、プラットフォームごとに管理する必要がなくなる。 また、一般ユーザーは1回のパスワードメンテナンスを行うだけで良くなるなどメリットは多い。結果的に、個別にユーザー情報データベースを管理していた場合と比較して、管理・運用にかかるコストを大幅に削減することができ、管理コスト面でも大きなメリットを生み出す。様々なプラットフォームが混在する今日のネットワーク環境を考えると、『OpenLDAP』の導入によりアカウント管理方式を見直すことでさまざまなメリットを見い出すことが出来るだろう。


GUIによる『OpenLDAP』の管理を実現する『LDAP Manager』
 さらに大塚商会では、『OpenLDAP』と『Windows Active Directory』との連携を可能とする『LDAP Manager』(エクスジェン・ネットワークス)というGUIツールも提供している。既存のWindows環境下で運用している『Windows Active Directory』の情報もWebベースの管理画面で一括して行うことができ、メタディレクトリとして構築したOpenLDAPサーバとActive Directoryサーバとの間でユーザー情報の同期を取れる仕組みを提供する。
 『LDAP Manager』を利用することで、『Windows Active Directory』だけでなくNovelの『NDS』やIBMの『Notes』といったさまざまなディレクトリサービスの一元管理も実現する。またCSVによるユーザーの一括登録やユーザーのパスワード有効期限の管理、Windowsドメインログイン時の通知機能との連携、パスワード有効期限チェックや、一般ユーザーが自身のユーザープロファイルを、Webブラウザから変更するセルフメンテナンスなど多くの機能を提供する。大塚商会では、このようにLinuxベースでの優れたユーザー情報データベース管理を実現するソリューションを提案しており、万全なサポート体制を整えているので、いつでもお気軽にご相談していただきたい。		 ■Windows、UNIX/Linux、Mac端末からのユーザ認証を実現
拡大
『OpenLDAP』を利用すると、インターネット経由の外部認証やさまざまなサーバ群で利用されるユーザー情報など、多用なネットワーク環境のユーザー情報を一元的に管理可能になる


■Windows Active Directoryとの連携

拡大
『LDAPManager』を利用すれば、既存のWindowsActiveDirectoryやNotes、sendmailなどのサーバ群のユーザー登録情報を、WebベースのGUIインターフェイスでまとめて管理することが可能になる



Backnumber


 
PgeTop
BP PLATINUM本紙の購読申込み・お問合せはこちらから
Copyright 2006 Otsuka Corporation. All Rights Reserved.