クラウドID管理における「 LDAP 」とは

認証プロトコル「 LDAP 」についての概要解説です。「ディレクトリサービスでの認証と通信」のために開発されたソフトウェアプロトコルで、認証技術標準として幅広く利用されています。「情報データベース機能」「認証ハブ機能」「セキュリティ」「認証プロセス」などについて紹介しています。

認証プロトコル「 LDAP 」についての概要解説です。「ディレクトリサービスでの認証と通信」のために開発されたソフトウェアプロトコルで、認証技術標準として幅広く利用されています。「情報データベース機能」「認証ハブ機能」「セキュリティ」「認証プロセス」などについて紹介しています。

「LDAP」とは

認証プロトコル

LDAP(Lightweight Directory Access Protocol)とは、「ディレクトリサービスでの認証と通信」のために開発されたオープンなクロスプラットフォームソフトウェアプロトコルです。

「ディレクトリサービス」とは、「コンピュータアカウント情報」「ユーザー情報」「パスワード情報」などを格納し、ネットワーク上で共有することにより、アプリケーションやユーザーが組織全体から必要な情報を検索できるサービスです。

LDAPディレクトリにデータを保存し、ディレクトリにアクセスするユーザーを認証することで、ユーザー認証プロセスとして利用できます。

クライアント/サーバモデル

LDAPは、クライアント/サーバモデルで動作します。

LDAPサーバ

LDAPサーバは、「ディレクトリサービス機能」と「ユーザーアクセス認証機能」を提供します。

主なLDAPサーバ
・OpenLDAP
・Active Directory
・OpenDJ など

LDAPクライアント

LDAPクライアントは「LDAP認証をサポートするシステムまたはアプリケーション」であり、LDAPサーバに対してユーザー資格情報を提示して、認証を要求します。

主なLDAPクライアント
・OpenVPN
・Docker
・Jenkins
・Kubernetes など

認証技術標準

1997年に登場した「国際化やセキュリティ強化がなされたLDAPv3」は、「ディレクトリサービスのためのインターネット標準」として利用されています。

セキュリティ

セキュリティ問題① 通信の暗号化

LDAPは、アクセス管理のための組み込みレイヤーを備えた標準セキュリティ機能を提供します。

しかし、「LDAPサーバとLDAPクライアント間の通信」は保護しません。
悪意のある攻撃者によって、認証プロセス中に送受信される情報を傍受され、組織のデジタルインフラストラクチャにアクセスされる危険性があります。

そのため、企業はLDAP認証プロセスを通じて安全な暗号化を追加する必要があります。
「SSL/TLS暗号化」などを追加して通信を暗号化して保護することにより、企業の通信チャネルのセキュリティを強化できます。

セキュリティ問題② デフォルトポート

LDAPには『LDAP認証プロセスのデフォルトポート「389」が安全ではない』という潜在的セキュリティ問題があります。

「LDAPv3 TLS拡張」や「StartTLSモード」など、より安全で保護された接続を提供する追加のセキュリティ拡張が必要です。

「LDAP」の主な機能

情報データベース機能

さまざまな情報を保存

LDAPサーバは「柔軟なスキーマを持つデータベース」として機能します。

つまり、LDAPは「ユーザーID+パスワード」の基本認証用情報のみではなく、さまざまな属性情報を保存することもできます。

保存している情報を、他のアプリケーションやサービスに共有できます。

保存される情報の例

LDAPサーバは次のようにさまざまな情報を格納できます。

・ユーザー情報—ID、属性、住所、電話番号、所属グループ、所属組織、アクセス権限情報
・ネットワーク接続デバイス情報—サーバ、クライアント、プリンター
・システム情報—アプリケーション、サービス
・ネットワーク情報
・組織情報
・グループ情報—グループ関連付け
・ファイル情報—共有ファイル など

ディレクトリ情報ツリー

データは「ディレクトリ情報ツリー」と呼ばれる階層構造に格納されます。

データが「分岐するツリー構造」に編成されることで、「管理者がディレクトリをナビゲート」「特定データ検索」「ユーザーアクセスポリシー管理」などが容易になるメリットがあります。

LDAPクエリ

シンプルな文字列ベースクエリである「LDAPクエリ」を使用すると、LDAPサーバ内の各種データ検索が容易になります。

「ldapsearch」「PowerShell」などのユーティリティを使用してクエリを実行することもできます。

認証ハブ機能

LDAPにはさまざまな用途がありますが、「認証と承認のための中央ハブ」としての利用が最も一般的です。

これには、組織がネットワークやアプリケーション全体で「ユーザーID+パスワード」を統合的に管理できるメリットがあります。

ユーザーが「アプリケーション」「ディレクトリ」「システム」にアクセスしようとするごとに、資格情報について検証できます。

「LDAP」の認証プロセス

概要

LDAP認証では、LDAPプロトコルを使用するディレクトリサービスに接続して、提供された「ユーザーID+パスワード」を認証します。

認証プロセス

認証プロセスの段階的な内訳は次のとおりです。

①要求

LDAPクライアントは、LDAPサーバ(データベース)内に格納されているユーザー資格情報(ユーザーID+パスワード)とともに、LDAPサーバに要求を送信します。

②認証

LDAPサーバは、「LDAPクライアントから送信されてきた資格情報」について、LDAPデータベースに保存されているユーザーIDデータと照合することで、認証を実施します。

③アクセス許可(拒否)

認証「成功」の場合、LDAPクライアントはアクセスが許可され、要求された情報(属性、グループメンバーシップ、その他のデータ)を受け取ります。

認証「失敗」の場合、LDAPクライアントはLDAPデータベースへのアクセスを拒否されます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考サイト