LDAPとは？今さら聞けない概要や仕組み、できることから利用するメリットまで

 

企業のリソース管理においてLDAPを利用しているケースは多いでしょう。しかしLDAPの仕組みや利用するメリットなどについてはよく知らない、という方も多いのではないでしょうか。
この記事では、LDAPの基礎知識から仕組み、できることや利用するメリットについて解説します。LDAPの概要を知りたい、LDAPを利用するために基礎から学びたい、という方はぜひご覧ください。

 

■LDAPとは？

はじめに、LDAPの概要や利用シーンなど基礎知識を解説します。

◇ディレクトリサービスとは

LDAPはディレクトリサービスへアクセスするためのプロトコルです。そのため、まずはディレクトリサービスについて知るところから始めましょう。
ディレクトリサービスとは、ネットワークを利用するユーザー名やマシン名などのさまざまな情報を管理するサービスを表します。つまり、さまざまなコンピュータ内の情報を統合的に管理するサービスです。

ディレクトリサービスの例としては、LDAP以外にもDNS（Domain Name System）などが該当します。DNSはインターネット上のドメイン名を管理・運用するためのシステムです。
私たちが普段Webサイトにアクセスする際に入力するURLは、本来IPアドレスを入力しなければなりません。しかし、IPアドレスは覚えにくいため、インターネットの世界では、より親しみやすいドメインという形に変換しています。DNSはこの処理を実現するシステムで、ドメイン名とIPアドレスを紐付けるデータの管理、運用をしています。これは、情報を総合的に管理しているディレクトリサービスであるため、実現できているのです。

◇LDAPとは

ディレクトリサービスの一つであるLDAPは、Lightweight Directory Access Protocolの略称であり、ディレクトリサービスへアクセスするためのプロトコルです。
LDAPはネットワークを利用するユーザー名やマシン名、パスワード、IPアドレスなどのさまざまな静的データを保有したディレクトリサービスから情報を取り出したり、更新したりするために利用されます。また、LDAPはデータの冗長性を排除し、情報源を一元化するという特徴があります。

LDAPが登場する以前はDAPと呼ばれるプロトコルが使用されていました。しかし、DAPは複雑であるため処理が重く、インターネットでは利用されにくいという欠点がありました。その問題点を解決するために再設計されたものがLDAPです。
なお、現在では国際化やセキュリティ強化がなされたLDAPv3が利用されています。

◇LDAPの利用シーン

LDAPの利用シーンとしては、例えばシステムA・B・Cという3つのシステムとLDAPサーバーを連携するケースが考えられます。LDAPを利用した場合、LDAPサーバーに保存されたユーザー1の情報をそれぞれのシステムに個別登録する必要がなくなり、ユーザー1がすべてのシステムにログインできる仕組みを構築可能です。
また、LDAPサーバーとグループウェアを連携し、個人名から部署やメールアドレス、内線番号などの連絡先を検索することも可能です。多くの従業員が働く企業内では、各個人の情報を一元的に効率よく管理するためにLDAPが利用されています。

なお、このような利用シーンの多くはMicrosoft社のActive Directoryが利用されています。Active Directory は、利用シーンの多くではじめに名前が挙がるほど広く使われている製品です。その他にも、オープンソースのOpenLDAPなどがあり、LDAPはさまざまな製品で利用されています。
Active Directoryについて、詳しくは以下の記事を参照ください。
Active Directoryとは？導入するメリットやデメリット、活用方法について解説

 

■LDAPの仕組みについて

LDAPではLDIF（LDAP Interchange Format）と呼ばれるテキストファイルによって情報が管理されています。LDAPはデータベースとは異なり、テーブル構造ではなくツリー構造で情報が管理されている点が特徴です。
LDAPには次のような要素（エントリー）が存在し、これらを階層として管理することでアクセス権限を付与します。

・Domain Component（dc）：LDAPで管理する対象のルート
・Organization Unit（ou）：組織などのリソース
・Common Name（cn）：人やコンピュータなどのリソース
など

また、LDAPサーバー内でリソースを一意に識別するためにDistinguished Name（dn）が用いられ、それぞれのエントリーにはさまざまな属性を定義できます。これは、ツリー構造を簡潔に表すための識別名であり、次のように下位層から上位層に向かってカンマでつないで表現するものです。

cn=tanaka,ou=2ka,ou=jinji,ou=kaisha

LDAPはこのようなツリー構造の仕組みによってリソースを一意に識別・管理することで、検索などを容易に行なえるようにします。

 

■LDAPでできること

ここからはLDAPでできることをもう少し詳しく見ていきましょう。LDAPは、おもにリソースの一元管理・アクセス制御、グループウェアなどとの連携ができます。
 

◇リソースの一元管理

LDAPを利用することでユーザーやコンピュータなどのリソースを一元的に管理できます。具体的には、ユーザーのログイン情報や個人情報、パソコンやプリンタなどのIPアドレス情報などを管理できます。
一元的に管理することで、入退社にともなう社員の管理やパソコン・プリンタなどの機器の管理が容易になります。これらの情報はLDAPサーバーに集約され、参照するだけでなく情報の更新も行なえるため、最新の情報を維持できます。
 

◇リソースのアクセス制御

ユーザーや部署ごとに利用可能なパソコンやプリンタ、システムへのアクセス制限なども実現可能です。例えば、人事システムへのアクセスは人事部の従業員にのみ許可する、といったことがLDAPサーバーで設定できます。
Active Directoryではグループポリシーも管理できるため、企業内のパソコンを利用する上での初期設定や制限なども一括で設定可能です。また、特定のフォルダに対するアクセス制限まで行なえるため、特定のディレクトリに対するアクセスを特定部署のユーザーのみ許可する、といったことも実現できます。
 

◇グループウェアなどとの連携

多くのグループウェアはLDAP（Active Directory）と連携が可能です。組織内のコミュニケーションを円滑にし、業務効率化を推進するグループウェアとLDAPを連携させれば、従業員の部署や連絡先だけでなく、スケジュールなども検索できるようになります。
また、メールサーバーや社内システムなどと連携すると、新入社員などのユーザーを新規で作成する際、それらのシステムが利用できるよう自動的にアカウントを作成させることも可能です。

■LDAPを利用するメリット

LDAPを利用すると多くのメリットが得られますが、そのなかでも代表的なメリットについて紹介します。
 

◇機能の拡張性が高い

LDAPは機能の拡張性が高い点がメリットとして挙げられます。ユーザーログイン情報だけでなく、組織情報やコンピュータ・プリンタ・アプリケーションなどのさまざまなリソースの管理が可能です。
メールアドレス帳や電話帳としても利用でき、自由に拡張できる点が大きな特長の一つです。また、グループウェアなどとの連携ができることからも、その拡張性の高さが見て取れるでしょう。
 

◇さまざまなOSに対応している

LDAP自体はプロトコルであり、Unix／Linux、WindowsなどのさまざまなOSに対応しています。LDAPを利用したディレクトリサービス製品は多く登場していますが、そのなかでもActive DirectoryはWindowsに特化した製品です。
多くの企業はWindowsパソコンを利用していますが、さまざまなOSが混在する環境においてもLDAPを利用することで統合的な管理が実現できます。
 

◇セキュリティが強固

LDAPはリソースのアクセス制御を細かいところまで制御できます。例えば、特定部署のユーザーのみがアクセスできる環境において、ユーザーAは参照のみ、ユーザーBは参照と更新が行なえる、といった制御も可能です。
アクセス制御はセキュリティ事故をなくすためにも重要な要素であり、細かく設定できることはセキュリティの強化につながります。また、LDAPサーバーへの通信はSSLなどで暗号化できます。通信の盗聴などへの対策もLDAPで行なえます。
 

◇サーバーの負荷分散が可能

LDAPサーバーはリソースのレプリカ（複製）を作成するレプリケーションに対応しています。レプリケーションを行なうことで、LDAPサーバーを参照するグループを分けて通信負荷を軽減したり、有事の際のバックアップとして利用したりすることが可能です。
LDAPサーバーは企業内のリソースを一元的に管理しているため、災害などによってデータが失われると多大な影響をもたらします。レプリケーションによってバックアップを用意することで、データが消失するリスクを抑えることができます。
また、LDAPサーバーを分散管理することで、例えば本社と支社のリソースを分けて管理することも可能です。負荷分散やより近しいネットワークへのアクセスによる遅延の軽減など、効率的な運用・管理が実現できるでしょう。

 

■まとめ

LDAPはネットワークを利用するユーザーやコンピュータなどのリソースを管理するディレクトリサービスにアクセスするためのプロトコルです。LDAPを実装している製品としては、Windowsで利用できるActive Directoryが最も有名です。
LDAPはデータベースのようなテーブル構造ではなく、ツリー構造で情報を管理する仕組みとなっています。ツリー構造の仕組みによってリソースを一意に識別して管理することで、検索などを容易にしています。

リソースを一元的に管理できるだけでなく、リソースごとにアクセス制御したり、グループウェアや社内システムと連携したりすることも可能です。機能の拡張性が高く、セキュリティが強固なLDAPは多くの企業で利用されています。
なお、LDAPはおもに社内ネットワークに限られた範囲で利用しますが、近年、各企業ではクラウドサービスの利用が増えつつあります。そのため、社内リソースの一元管理と併せてクラウドサービスのログイン情報なども管理する必要が出てきています。

そんな問題を解決するために利用いただけるサービスがトラスト・ログインです。トラスト・ログインは国内登録社数No.1のシングルサインオンサービスであり、クラウドや社内システムなどのサービスをまとめて完全パスワードレス化し、シングルサインオンを実現できます。
昨今の環境の変化によるユーザーIDやパスワード管理にお困りの方は、トラスト・ログインの利用を検討してみてはいかがでしょうか。