第 12 章 LDAP ネームサービスの紹介 (概要/リファレンス)

この章では、 Sun^TM ONE Directory Server 5.1 (以前の名称は、 iPlanet^TM Directory Server 5.1) 上で動作する Solaris LDAP ネームサービスクライアントの設定方法について説明します。一般的なディレクトリサーバー要件については、第 18 章「LDAP の一般的なリファレンス」で簡潔に説明します。

ディレクトリサーバーは、必ずしも LDAP サーバーである必要はありません。しかし、この章では「ディレクトリサーバー」という言葉は 「LDAP サーバー」と同じ意味で使っています。

対象読者

LDAP ネームサービスに関するこれらの章は、LDAP に関する実務上の知識を持つシステム管理者を対象としています。以下のリストはこの章を読む前によく理解しておく必要のある概念の一部です。以下の概念を知らない場合は、このマニュアルを使って Solaris 環境に LDAP ネームサービスを導入することは難しいかもしれません。

• LDAP 情報モデル (エントリ、オブジェクトクラス、属性、タイプ、値)

• LDAP ネームモデル (ディレクトリ情報ツリー (DIT) 構造)

• LDAP 機能モデル (検索パラメータ: ベースオブジェクト (DN)、スコープ、サイズ制限、時間制限、フィルタ (Sun ONE Directory Server のインデックスを表示する)、属性リスト)

• LDAP セキュリティモデル (認証方式、アクセス制御モデル)

• データの計画方法と DIT、トポロジ、複製、セキュリティの設計方法を含む LDAP ディレクトリサービスの計画と設計全般

推奨される前提知識

前述の概念についての詳細、また一般的な LDAP とディレクトリサービスの導入について知りたい場合は、以下の文書を参照してください。

• Timothy A. Howes, Ph.D、Mark C. Smith 共著『Understanding and Deploying LDAP Directory Services』

  この本には LDAP ディレクトリサービスの扱い方に関する詳細だけでなく、LDAP を配備する上で役に立つケーススタディが書かれています。配備事例には、大規模な大学、多国籍企業、そしてエクストラネットを使った企業などがあります。

• 『iPlanet Directory Server 5.1 導入ガイド』。 このドキュメントは、Solaris 9 Documentation CD に含まれています。

  このドキュメントでは、基本的なディレクトリ計画 (ディレクトリ設計、スキーマ設計、ディレクトリツリー、トポロジ、複製、およびセキュリティを含む) が説明されています。最後の章では、単純で小規模な配備計画と、複雑な世界に広がる配備計画の両方のシナリオを説明しています。

• 『iPlanet Directory Server 5.1 管理者ガイド』。 このドキュメントは、Solaris 9 Documentation CD に含まれています。

その他の前提条件

NIS+ から LDAP の使用への移行については、 第 19 章「NIS+ から LDAP への移行」を参照してください。これらの章に進む前に、移行を完了させてください。

Sun ONE Directory Server 5.1 をインストールする場合は、『iPlanet Directory Server 5.1 インストールガイド』を参照してください。

LDAP ネームサービスとその他のネームサービスの比較

次の表は、FNS、DNS、 NIS、 NIS+ 、LDAP ネームサービスを比較したものです。

完全指定ドメイン名の使用

NIS や NIS+ クライアントと違い、 LDAP クライアントは常にホスト名として完全指定のドメイン名 (FQDN、Fully Qualified Domain Name) を返します。LDAP のFQDN は、DNS によって返される FQDN に似ています。たとえば、次のドメイン名を考えてみましょう。

west.example.net

ホスト名 server を検索する場合、gethostbyname() および getipnodebyname() はホスト名を FQDN で返します。

server.west.example.net

また、server-# のようなインタフェース固有の別名を使用した場合も、完全指定ホスト名の長いリストが返されます。ホスト名を使用してファイルシステムを共有したり他の検査を実行したりする場合、この点に留意する必要があります。たとえば、ローカルホストは FQDN ではなく、リモートの DNS で解決されるホストだけが FQDN であると想定している場合は、その違いに留意する必要があります。DNS とは違うドメイン名で LDAP を設定する場合、参照先によって同じホストが結果的に2つの異なる FQDN になる可能性があります。

LDAP ネームサービスの利点

• LDAP を使用すると、アプリケーション固有の情報を置き換えて情報の整理統合を実行し、管理するデータベースの数を減らすことができる

• LDAP を使用すると、マスターと複製との間でより頻繁にデータの同期を取ることができる

• LDAP では、プラットフォーム間およびベンダー間の互換性が維持されている

LDAP ネームサービスの欠点

以下に、その他のネームサービスと比較して LDAP の欠点を示します。

• Solaris 8 以前のクライアントはサポートしていない

• LDAP サーバーをそのクライアントとして使用することはできない

• LDAP ネームサービスの設定および管理がより複雑なため、注意深い計画が必要である

ディレクトリサーバー (LDAP サーバー) をそのクライアントとして使用することはできません。つまり、ディレクトリサーバーソフトウェアを実行中のマシンを、LDAP ネームサーバークライアントにすることはできません。

Solaris 9 LDAP ネームサービスの新機能

• LDAP ディレクトリサーバー構成は、 idsconfig を使うことにより簡単に設定することができます。

• 強力な認証と暗号化されたセッションのトランスポートレイヤーセキュリティ (Transport Layer Security, TLS) をサポートするより堅牢なセキュリティモデルクライアントのプロキシ資格は、ディレクトリサーバー上のクライアントプロファイルには格納されていない

• ldapaddent コマンドを使用して、データをサーバー上に生成およびダンプすることができる

• サービス検索記述子と属性の割り当て

• 新規プロファイルスキーマ

NIS+ から LDAP への移行

NIS+ は、将来のリリースでサポートされない可能性があります。Solaris 9 オペレーティング環境には、NIS+ から LDAP への移行を支援するツールが用意されています。

詳細については、http://www.sun.com/directory/nisplus/transition.html を参照してください。

NIS+ から LDAP への移行の詳細については、 第 19 章「NIS+ から LDAP への移行」を参照してください。

LDAP ネームサービスの設定 (作業マップ)