第 12 章 LDAP ネームサービスの紹介 (概要/リファレンス)

LDAP に関する章では、iPlanet Directory Server 5.1 で動作するように Solaris ネームサービスクライアントを設定する方法を説明します。一般的なディレクトリサーバー要件については、第 18 章「一般的なリファレンス」で簡潔に説明します。

ディレクトリサーバーは LDAP サーバーである必要はありませんが、LDAP に関する章では、「ディレクトリサーバー」という語は「LDAP サーバー」の同義語として使用します。

対象読者

LDAP ネームサービスに関するこれらの章は、LDAP に関する実務上の知識を持つシステム管理者を対象としています。以下のリストは、本書を利用して Solaris ベースの LDAP ネームサービスを配備する前によく理解しておく必要のある概念の一部です。

• LDAP 情報モデル (エントリ、オブジェクトクラス、属性、タイプ、値)

• LDAP ネームモデル (ディレクトリ情報ツリー (DIT) 構造)

• LDAP 機能モデル (検索パラメータ: ベースオブジェクト (DN)、スコープ、サイズ制限、時間制限、フィルタ (iPlanet Directory Server のインデックスを表示する)、属性リスト)

• LDAP セキュリティモデル (認証方式、アクセス制御モデル)

• LDAP ディレクトリサービスの全体計画および設計 (データの計画方法、DIT、トポロジ、複製、およびセキュリティの設計方法を含む)

推奨される前提知識

前述の概念を詳しく知りたい場合、または LDAP や一般的なディレクトリサービスの配備について知りたい場合、以下のドキュメントが役に立ちます。

• 『Understanding and Deploying LDAP Directory Services 』Timothy A. Howes, Ph.D、Mark C. Smith 共著

  LDAP ディレクトリサービスの処理をはじめから終わりまで紹介するとともに、大規模な大学、大規模な多国籍企業、およびエクストラネットを備えた企業への LDAP 導入に関する有用なケーススタディが含まれています。

• 『iPlanet Directory Server 5.1 導入ガイド』。このドキュメントは、Solaris 9 Documentation CD に含まれています。

  このドキュメントでは、基本的なディレクトリ計画 (ディレクトリ設計、スキーマ設計、ディレクトリツリー、トポロジ、複製、およびセキュリティを含む) が説明されています。最後の章では、簡単な配備に加え、世界中に存在する何百万ものユーザーをサポートする複雑な配備を行う際の参考になる、サンプルの開発シナリオを紹介しています。

• 『iPlanet Directory Server 5.1 管理者ガイド』。このドキュメントは、Solaris 9 Documentation CD に含まれています。

その他の前提条件

NIS+ から LDAP への移行を行う場合、『Solaris のシステム管理 (ネーミングとディレクトリサービス : FNS、NIS+ 編)』の付録「NIS+ から LDAP への移行」を参照して移行を完了してから、本書の各章に進んでください。

iPlanet Directory Server 5.1 のインストールが必要な場合は、『iPlanet Directory Server 5.1 インストールガイド』を参照してください。

LDAP ネームサービスとその他のネームサービスの比較

以下に、FNS、DNS、NIS、NIS+、および LDAP ネームサービスの比較一覧を示します。

完全指定ドメイン名の使用

LDAP クライアントと NIS や NIS+ クライアントとの 1 つの重要な相違点は、LDAP クライアントが DNS の場合と同様、ホスト名として常に完全指定ドメイン名 (FQDN) を返すことです。たとえば、次のドメイン名を考えてみましょう。

west.example.net

この場合、ホスト名 server を検索する場合、gethostbyname() および getipnodebyname () はホスト名を FQDN で返します。

server.west.example.net

また、server-# のようなインタフェース固有の別名を使用した場合も、完全指定ホスト名の長いリストが返されます。ホスト名を使用してファイルシステムの共有や他の検査を実行する場合、この点に留意する必要があります。ローカルホストには非 FQDN を想定し、DNS 解決済み遠隔ホストにのみ FQDN を想定している場合は特に注意が必要です。DNS と異なるドメイン名を使用して LDAP を設定すると、同じホストでも検索元によって FQDN が異なることがあります。

LDAP ネームサービスの利点

• LDAP を使用すると、アプリケーション固有の情報を置き換えて情報の整理統合を実行し、管理するデータベースの数を減らすことができる

• LDAP を使用すると、マスターと複製との間でより頻繁にデータの同期を取ることができる

• LDAP では、プラットフォーム間およびベンダー間の互換性が維持されている

LDAP ネームサービスの欠点

以下に、その他のネームサービスと比較して LDAP の欠点を示します。

• Solaris 8 より前のクライアントがサポートされない

• LDAP サーバーをそのクライアントとして使用することはできない

• LDAP ネームサービスの設定および管理がより複雑なため、注意深い計画が必要である

ディレクトリサーバー (LDAP サーバー) をそのクライアントとして使用することはできません。つまり、ディレクトリサーバーソフトウェアを実行中のマシンを、LDAP ネームサーバークライアントにすることはできません。

Solaris 9 LDAP ネームサービスの新機能

• idsconfig の使用による、LDAP ディレクトリサーバー設定の簡略化

• 強力な認証、TLS 暗号化セッションをサポートする、より堅牢なセキュリティモデル。クライアントのプロキシ資格は、ディレクトリサーバー上のクライアントプロファイルには格納されていない

• ldapaddent コマンドを使用して、データをサーバー上に生成およびダンプすることができる

• サービス検索記述子および属性マップ

• 新規プロファイルスキーマ

NIS+ から LDAP への移行

NIS+ は、将来のリリースではサポートされなくなる可能性があります。Solaris 9 オペレーティング環境には、NIS+ から LDAP への移行を支援するツールが用意されています。

詳細については、http://www.sun.com/directory/nisplus/transition.html を参照してください。

NIS+ から LDAP への移行の詳細については、『Solaris のシステム管理 (ネーミングとディレクトリサービス : FNS、NIS+ 編)』の付録「NIS+ から LDAP への移行」を参照してください。

LDAP ネームサービスの設定 (作業マップ)