「LDAPとADっていったい何が違うの?」
「LDAPはシングルサインオンとどんな関係があるの?」
LDAPについて調べても専門用語が多く、ITに慣れていない方は説明されてもよくわからないのではないでしょうか。
LDAPとは、ネットワーク内にあるディレクトリにアクセスする際のプロトコル(決まりごと)です。
簡単に言えば、サイトやアプリにログインしようとしたときに、サーバーがログインの許可や拒否をするために必要な内容が定められているのがLDAPと言うことになります。
LDAPと良く比較されるADとも関連性がありますが、2つにはプロトコルとディレクトリサービスという違いがあります。
本記事では、LDAPがどのようなものか、ADとの違いやシングルサインオンとの関係とあわせてわかりやすくまとめました。
- LDAPとは
- LDAPと関連用語の違い
- LDAPでできること
LDAPがどのようなものか知り、自社のシステムへのログインをより効率の良いものにしたい方は、ぜひ、最後まで記事をご覧ください。
LDAPとは?
LDAPは「エルダップ」と読み、(Lightweight Directory Access Protocol)の英語名から解釈すると、「ディレクトリにアクセスするためのプロトコル」となります。
簡単に言えば、LDAPには「ネットワーク内のディレクトリにアクセスするときの決まりごと」が記されているのです。
LDAPは、主にネットワークを一元管理するときに利用されます。
ネットワーク内にあるファイルやプリンタなどのさまざまな情報を集めて一元管理することで、高速かつ安全に社内ネットワーク内の機器を使用できるようになります。
ディレクトリは、WindowsやMacで言う「フォルダ」と同じ意味合いを持ち、プリンターなどの機器の情報や作成した書類を保管する「保管箱」と考えるとわかりやすいでしょう。
LDAPは、ディレクトリにアクセスする際の認証に使用します。
ディレクトリには重要な情報が保存されているので、むやみにアクセスされてしまうと情報が守れません。
そのため、LDAPでディレクトリにアクセスする際の決まりごとを定める必要があるのです。
LDAPと関連用語の違い
LDAPと関連する用語に、AD(Active Directory)とデータベースがあります。
2つの関連用語とLDAPにどのような違いがあるのか理解しておくと、LDAPとADの知識がより深まります。
それぞれ確認していきましょう。
(1)LDAPとAD(Active Directory)の違い
LDAPとAD(Active Directory)には以下のような違いがあります。
|
LDAP |
|
|---|---|
|
AD(Active Directory) |
|
簡単に言えば、LDAPはユーザー情報を所有しているのに対して、ADはユーザー情報とWindowsに関する情報の両方を所有しているのです。
また、LDAPはあくまでプロトコルであり、ディレクトリサービスではないことに注意しましょう。
(2)LDAPとデータベースの違い
LDAPとデータベースには以下のような違いがあります。
|
LDAP |
|
|---|---|
|
データベース |
|
上記の表を簡単に言うと、以下のようになります。
- LDAP…シンプルで多くの情報が持てない分、PCへの負担は少ない。
- データベース…多くの情報を持ち2つ以上の処理を同時に行える分、PCへの負荷が大きい
そのため、LDAPは更新の機会が少ないシステムアカウントの管理に向いていると言えます。
LDAPでできること
LDAPでできることを4つ紹介します。
- アカウント情報の一元管理
- サーバー内における各種アプリのアカウント管理
- さまざまなグループウェアとのLDAP連携
- 社員情報の共有や検索
どのようなことができるのか、詳しく見ていきましょう。
(1)アカウント情報の一元管理
LDAPを利用すると、ユーザーやPCなどのアカウント情報をLDAPサーバーに一元管理できます。
LDAPにてアカウント情報を一元管理するメリットは、社員情報やPC・プリンタなどの機器管理が容易になることです。
簡単に言えば、LDAPサーバーにアカウント情報を登録しておくと、ネットワーク内にあるどのPCからでも同じアカウントでログインができるようになります。
さらに、社員それぞれのプロファイル(利用者ごとに保存されている環境やデータ)もログインしたときに取得可能です。
(2)サーバー内における各種アプリのアカウント管理
LDAPを利用すると、サーバー内における各種アプリのアカウント管理ができるようになります。
例えば、サーバー内アプリのIDおよびパスワードの統一化です。
わかりやすく言うと、LDAPサーバー内のアプリへは、1つのID・パスワードでアクセスができるようになります。
また、パスワード統一化機能を応用したシングルサインオン(SSO:1度ログインに成功すれば、システム内のアプリには再度ログインしなくてもサービスを利用できる)も可能です。
(3)さまざまなグループウェアとの LDAP 連携
社内では、業務をスムーズに進めるためにさまざまなソフトウェアを利用していますが、LDAPはこれらのソフトウェア(グループウェア)と連携可能です。
グループウェアとLDAPを連携すると、アカウント管理が楽になるというメリットがあります。
例えば、新入社員のアカウントを作成する際、それぞれのグループウェアにログイン情報を登録するのは相当な手間がかかります。
そこで、先にLDAPに新入社員の情報を登録しておくと、認証結果に問題なければそれぞれのグループウェアに新入社員のアカウントが自動的に作成されるのです。
また、退職者のアカウントに関しては、LDAPサーバーに登録されている情報を削除すると、連携しているグループウェアから該当するアカウントが削除されます。
(4)社員情報の検索や共有
グループウェアとLDAPが連携していると、社員情報やスケジュールなどの検索や共有が可能になります。
例えば、グループウェアにログインした後の検索画面で、社員の名前を入力し検索をかけると該当人物の部署や電話番号などの情報が見られます。
LDAPと連携しているグループウェアは、グループウェアに入力された情報とLDAPサーバーに保存されている情報を照らし合わせて、画面に表示するのです。
共有や検索ができるようにするには、LDAPサーバーに社員の氏名や電話番号、所属部署などの情報を入力する必要があります。
社員情報を1度LDAPサーバーに入力するだけで複数のグルーウェアから検索や共有ができるので、利便性が高まります。
LDAP認証とは?
LDAP認証は、ユーザーがログインする際にディレクトリサービスを利用する認証方法で、シングルサインオンの1つとも言えます。
LDAP認証の仕組みと、シングルサインオンの1つであるケルベロス認証の違いについて見ていきましょう。
他の認証方法と比較することで、LDAP認証がより理解できるようになります。
シングルサインオン(SSO)とは?
シングルサインオン(SSO)は、1度ログインに成功すれば、システム内にある他のアプリはログインの必要なく利用できる仕組みです。
1回のログインで複数のサービスを利用できるため、利用者はログインの手間が省けるメリットがあります。
また、セキュリティを高めたい場合には、シングルサインオンに多要素認証を組み合わせると効果的です。
詳しくは『シングルサインオン(SSO)とは?基本やメリット・デメリットをわかりやすく解説』で解説しておりますので、ぜひ合わせてご参考ください
(1)LDAP認証の仕組み
LDAP認証とは、簡単に言えばLDAPサーバー内のディレクトリサービスを利用した認証方法です。
例えば、社員がログインのリクエストを出すと、LDAPサーバーにリクエストの情報が送信されます。
LDAPサーバーはディレクトリ内のデータと情報が一致するか検証し、一致すればログインを許可するといった認証方式です。
つまり、LDAP認証もシングルサインオンの認証方式の1つと言えるのです。
LDAP認証は、非常に柔軟性の高い認証方法とも言われています。
なぜなら、管理者はディレクトリにIDやパスワードなどの情報を登録するときに、ユーザーのアクセス制御の設定もできるからです。
そのため、LDAP認証を適用すると、アクセスの許可と同時にアクセス制御も適用されます。
(2)LDAP認証とケルベロス認証の違い
LDAP認証とケルベロス認証には以下のような違いがあります。
|
LDAP認証 |
|
|
ケルベロス認証 |
|
ケルベロス認証と言えば、Active DirectoryによるAD認証をイメージする方もいるのではないでしょうか。
AD認証はケルベロス認証にてアカウントを管理しています。
また、Active DirectoryにはLDAPが存在します。
つまり、LDAP認証とケルベロス認証は異なる認証方式ですが、同時使用ができるのです。
LDAPサーバーの基本情報
LDAPサーバーの基本情報について説明します。
- LDAPサーバーの特徴
- LDAPサーバーで管理可能な情報と属性
- LDAPサーバーを構築するには
LDAPサーバーの知識が深まると、LDAP認証も使いやすくなります。
どのようなものか、1つずつ見ていきましょう。
(1)LDAPサーバーの特徴
LDAPサーバーには以下のような特徴があります。
- アカウント情報の一元管理
- LDAPを利用した認証
- 登録されている情報の検索や照会
- ディレクトリへデータの新規登録
- 登録済みのデータの変更や削除
簡単に言えば、LDAPサーバー内のアカウント情報は、LDAPで連携するすべてのグループウェアへ影響を与えるということです。
LDAPサーバーはアカウント情報を一元管理できるため、アカウント管理に関する手間や時間を減らせます。
その反面、LDAPサーバー内の情報は厳重な管理をしなければなりません。
LDAPサーバー内の情報を操作できる人物は厳選するべきでしょう。
(2)LDAPサーバーで管理可能な属性と情報
LDAPサーバーでは以下のような事柄が管理できます。
- ログイン用ID
- パスワード
- 氏名
- メールアドレス
- 組織および部署名
- グループメンバーシップ
- グループメンバーフィールド
IDやパスワードは、グループウェアにログインするために必要な情報です。
また、グループメンバーシップは、【LDAPグループの使用】を選択した際にグループを識別するための属性を入力します。
同様に、グループメンバーフィールドでは、特定のグループに属するメンバーLDAP属性を振り分けると、メンバーの識別が可能になります。
(3)LDAPサーバーを構築するには
LDAPサーバーを構築するためには、まず、対応するソフトウェアのインストールが必要になります。
OpenLDAPは、LDAPを実装したサーバーソフトウェアの中でも最も導入実績のあるオープンソースのソフトウェアです。
メーカー製のソフトウェアのようなサポートはありませんが、Windows・LinuxなどのOSが混在するマルチプラットフォームでも使用可能です。
LDAPサーバーの構築を検討している方は、まず、OpenLDAPをインストールおよび設定し、使用感を試してみるといいでしょう。
まとめ
LDAPは、LDAPサーバー内にあるディレクトリにアクセスするための決まりごとが定められています。
ADとの違いは以下のとおりです。
- LDAP…ディレクトリにアクセスするためのプロトコル(決まりごと)
- AD…Windowsで使われているディレクトリサービスの1つ
LDAPはあくまでプロトコルであり、ADはLDAPも使用しているディレクトリサービスとも言えます。
また、LDAPを使用したシングルサインオンも広く普及しています。
なぜなら、ログインと同時にアクセス制御などをする時にID/パスワードの他にユーザー情報なども付加できるLDAP認証は利便性が高いからです。
LDAPを利用すると、高速かつ高いセキュリティ能力を持つシングルサインオンが可能になります。
ログイン時のセキュリティをより一層高めたい方は、LDAPを利用したシングルサインオンの導入を検討してみてはいかがでしょうか。
\今すぐ無駄をなくしませんか?/
メタップスクラウド編集部
「メタクラブログ」は、株式会社メタップスが運営する公式メディアです。当メディアでは、企業のセキュリティ対策や業務効率化に役立つコンテンツの情報を発信しております。