Directory Server

Directory Server は、アイデンティティー情報を格納するための、拡張性がありパフォーマンスの高いデータストアを提供します。Directory Server は、標準規格ベースのアクセスのために、Lightweight Directory Access Protocol (LDAP) v3 および Directory Service Markup Language (DSML) v2 をネイティブでサポートします。HTTP または SOAP (Simple Object Access Protocol) 経由で LDAP および DSML を利用することにより、ネットワーク上のあらゆる場所のクライアントが、ディレクトリデータオブジェクトを安全に検索および更新できます。クライアントは、ほかのアプリケーションによって行われた変更を受信したり、ファイアウォール経由でユーザーまたはアプリケーションを認証することもできます。

Directory Server とセキュリティー

Directory Server は、情報セキュリティーポリシーへの準拠を達成するためのさまざまなセキュリティー機能を提供します。これらの機能により、適切に承認されたユーザーのみが情報にアクセスできることが保証されます。

• マクロレベルの動的なアクセス制御命令 (ACI): LDAP 属性のレベルに至るまでの、きめ細かなアクセス制御を定義するための手段を提供します。アクセス制御ポリシーは一度定義すれば、以後はディレクトリツリー全体で再利用が可能です。マクロ ACI を使用してディレクトリ内の ACI の数を最適化することにより、セキュリティーフレームワークの複雑さを軽減できます。

• ロールベースのアクセス: ユーザーのエントリに含まれる情報に基づいて、アクセス権限を付与することができます。ロールはグループと同様に定義および管理されますが、アプリケーションに対してより効率的なグループ化機構を提供します。ACI 内でロールを使用して、データへのアクセスを制御できます。また、Directory Server の機能であるサービスクラス (CoS) では、ロールを使用することにより、多数のエントリに同時に適用できる仮想属性を作成できます。このような仮想属性は、エントリの記憶領域要件を軽減します。仮想属性を使用して、関連する多数のエントリを 1 回の変更で更新することもできます。

• 実行権限取得制御: 情報のセットに対してユーザーに付与するアクセス権限を決定するための手段を提供します。ディレクトリサービスのアクセスポリシーを保守する管理者は、ディレクトリのユーザーおよびアプリケーションのアクセス許可を監査することによってセキュリティーを強化できます。この機能を使用して、ユーザーの権限に応じて変化するインタフェースを持つアプリケーションを構築することもできます。

• 暗号化機構: ディスク上のデータや、通信チャネルを介して転送中のデータを保護します。Directory Server は、アクセス権限に基づいた分割レプリケーションやデータ非表示もサポートします。これらの機構は、EU およびその他の国際的なプライバシー規制に準拠する目的で使用できます。

• 複数のパスワードポリシー: ユーザー単位での定義や、特定グループのみを対象とした定義が可能です。これらのポリシーは、定期的なパスワード変更をユーザーに強制したり、アカウントへの未承認アクセスを確実にブロックするために役立ちます。

Directory Server と可用性

Directory Server は各種のアクセスプロトコルを標準でサポートし、分散環境での可用性の保証に役立つ、高い柔軟性と拡張性を備えたレプリケーション環境を提供します。

Directory Server のレプリケーションは、これらのプロトコルを使用してアイデンティティーデータにアクセスしているアプリケーションのシングルポイント障害を防ぎます。Directory Server は、ローカルエリアネットワークと広域ネットワークの両方をまたいでレプリケーションが行われる環境において、理論的には無制限の個数のマスターおよび読み取り専用コンシューマをサポートします。レプリケーションプロトコルの特殊な機能により、待ち時間の多いネットワーク経由でデータをレプリケートするときの最適化が可能になります。詳細については、「高可用性を実現するためのレプリケーションと冗長性の使用」を参照してください。

Solaris プラットフォームでは、Directory Server はクラスタ化をサポートします。これは、あらかじめパッケージ化された高可用性ハードウェアとソフトウェアのソリューションです。詳細は、「高可用性を実現するためのクラスタリングの使用」を参照してください。

Directory Server と拡張性

Directory Server では、配備の大幅な再設計を必要としない、垂直的な拡張と水平的な拡張の両方がサポートされています。このレベルの拡張性は、配備の規模が上がるにつれてますます重要になります。

Directory Server は、ハードウェア構成にもよりますが、1 台のマシン上での毎秒 20,000 エントリの持続的な検索パフォーマンスと、毎秒数千件の検索を実行できる水平的な拡張性を提供できます。読み取りの拡張容易性を高めるための Directory Server の配備方法については、第 10 章「拡張配備の設計」を参照してください。

情報を絶え間なく格納または更新するという要件は、組織全体でシステムの利用が拡大するにつれて顕著となります。Directory Server では、リレーショナルデータベースの書き込みパフォーマンスに近い更新パフォーマンスを実現しています。書き込みの拡張容易性を高めるための Directory Server の配備方法については、第 10 章「拡張配備の設計」を参照してください。

Directory Server は、「キャッシュからの読み取り」操作に関して、最大 28 CPU までの直線的な CPU 拡張性を提供します。メモリー容量の上限までのアクセスが可能であり、高いパフォーマンスを提供します。これにより、大規模なディレクトリを単一システム上で運用して、ハードウェアから最大限の利益を引き出すことができます。

Directory Server と保守容易性

Directory Server は、ディレクトリサービス全体だけでなく個別のサーバーを管理するための豊富な管理ツール群を提供します。

集中化された Web ベースの管理コンソールを使用して、複数の Directory Server を設定および管理できます。インタフェースには、設定から監視までの日常的なサーバー管理やサービスを効果的に実施するために必要な、すべてのツールが含まれています。加えて、サーバーの実行中に、コマンド行ユーティリティーの dsadm および dsconf を動的に使用できます。これらの管理機能により、ディレクトリをオンラインにしたままでほとんどの管理操作を実行できるため、可用性が最大化されます。

管理の柔軟性は、多くの異なる環境へのディレクトリサービスの配備を簡略化します。コマンド行ユーティリティーにより、サービスがローカルのデータセンター内にある場合と同様の簡単さでリモート管理を実行できます。