OpenLDAPの最新動向

Size: px

Start display at page:

Download "OpenLDAPの最新動向"

みさきありの
7 years ago
Views:

1 OpenLDAP の最新動向日本 LDAP ユーザ会関口薫 2007/4/23 1

2 Agenda OpenLDAP の紹介 OpenLDAP の最新機能 Configuration Backend Password Policy Access Log Referential Integrity OpenLDAP のロードマップ 2007/4/23-2 -

3 OpenLDAP とは 1998 年からミシガン大学のUmich LDAPをもとに開発を開始 LDAPソフトウェアスイート LDAPサーバ :LDAPサーバデータ管理用コマンド LDAPライブラリ :LDAPアクセス用ライブラリ LDAPクライアント :LDAPデータ操作コマンド類主な機能 LDAP v3 対応複数バックエンドデータベースを使用可能 SASL 認証 SSL/TLS 暗号化通信レプリケーション 2007/4/23-3 -

4 コミュニティ概況 OpenLDAP Foundation を中心に開発 Core Team:3 名アーキテクチャの方針決定開発プロセスの管理 Engineering Team:13 名主要な開発メンバ LDAP の新機能に対する標準化活動 IETFに対する提案機能の一部はRFCとして標準化活動状況メーリングリストによる活発な議論ユーザ用 : 十数通 / 日開発者用 ( バグ報告含む ): 十数通 / 日 2007/4/23-4 -

5 OpenLDAP の最新機能 OpenLDAP 2.3 の新機能 Configuration Backend Password Policy Access log Referential Integrity 2007/4/23-5 -

6 OpenLDAP の準備 OpenLDAP 2.3 の最新機能を使用するため次の手順でインストールを行う # tar zxvf openldap tgz # cd openldap #./configure --enable-overlays # make # make depend # make install 2007/4/23-6 -

7 Configuration Backend サーバ設定をデータベースに格納管理する機能 OpenLDAP 2.2 までは slapd.conf というテキストファイルを直接編集することで設定設定変更時にサーバの再起動が不要リモートから LDAP プロトコルによる設定変更が可能 2007/4/23-7 -

8 Configuration Backend 設定 slapd.conf に以下の設定を追加 database rootdn rootpw config cn=config secret 設定データベースの作成 LDIF バックエンド DB として作成 # mkdir /usr/local/etc/openldap/slapd.d # slaptest f /usr/local/etc/openldap/slapd.conf F /usr/local/etc/openldap/slapd.d 2007/4/23-8 -

9 Configuration Backend 使用法 LDAP の modify により設定を変更可能 LDAP サーバデーモンの再起動不要設定変更用 LDIF dn: cn=config changetype: modify add: olcsizelimit olcsizelimit: 検索エントリ最大数の変更 ldapmodify LDAP サーバデータベース (LDIF バックエンド ) cn=config olcsizelimit: 設定変更 2007/4/23-9 -

10 Password Policy パスワードで認証を行う際のポリシーを定義可能定義可能なポリシーパスワード最小文字数パスワード履歴パスワード有効期間パスワード変更禁止期間認証失敗時のアカウントロックアウト 2007/4/

11 Password Policy 設定 (1) ポリシー情報を LDAP に登録 dn: cn=policy,dc=test,dc=com objectclass: device objectclass: pwdpolicy cn: Policy pwdattribute: userpassword pwdminlength: 6 # パスワード最小文字数 pwdinhistory: 3 # パスワード履歴数 pwdmaxage: # パスワード有効期間 pwdminage: # パスワード変更禁止期間 pwdlockout: TRUE # アカウントロック機能有効 pwdmaxfailure: 3 # アカウントロックまでの認証失敗回数ポリシー情報を登録するには ppolicy.schema が必要 2007/4/

12 Password Policy 設定 (2) slapd.conf に以下の設定を追加 overlay ppolicy # 共通に使用するパスワードポリシー ppolicy_default cn=policy,dc=test,dc=com 共通のパスワードポリシーユーザ毎のパスワードポリシー uid=user01 cn=policy uid=user02 pwdpolicysubentry: uid=user02, ポリシー情報ポリシー情報 2007/4/

13 Password Policy 使用法パスワードポリシーの使用 LDAP クライアントコマンドの実行時に -e ppolicy を付加 $ ldapsearch x D uid=user01,ou=people,dc=example,dc=com w xxx b e ppolicy LDAP クライアントアプリケーションからの使用 bind 実行時にパスワードポリシー用のコントロール情報を付加する必要がある現在パスワードポリシー用 APIが提供されているのは C 言語のみ 2007/4/

session: abandon bind unbind 監査ログとして利用可能データベース

14 Access Log アクセスのログをデータベースに記録記録対象の情報 writes: add delete modify modrdn reads: compare search session: abandon bind unbind 監査ログとして利用可能データベースアクセス記録アクセス LDAP サーバログ書込みアクセス記録アクセス記録 2007/4/

15 Access Log 設定 slapd.conf に以下の記述を追加 database suffix rootdn rootpw directory index bdb cn=log cn=manager,cn=log secret /usr/local/var/openldap-log reqstart eq overlay accesslog logdb cn=log # ログ用 DBのsuffix logops wirtes # 記録対象の情報 # 更新前の情報を記録するエントリ ( フィルタで指定 ) logold (objectclass=person) 2007/4/

16 Access Log データ項目ログの参照 $ ldapsearch x b cn=log データ項目説明 reqstart アクセス開始時間 reqfind アクセス終了時間 reqtype アクセスの種類 (add modify delete 等 ) reqautzid アクセスを実行したユーザのDN reqdn アクセス先エントリのDN reqresult アクセスに対するLDAPのリターンコード reqmod add modifyによって書き込んだ内容 reqold 更新前の内容 2007/4/

17 Access Log 性能への影響 Access Log 無効有効での性能比較 ldapadd ldapmodify ldapdelete の処理時間を測定エントリ数 :10000 件エントリサイズ : 約 600B ldapadd ldapmodify ldapdelete Access Log 無効 ( 秒 ) Access Log 有効 ( 秒 ) 処理時間増加率 (%) Access Log を有効にすると処理時間が大幅に増加 2007/4/

18 Referential Integrity (1) エントリ削除移動時にその DN を値に持つ属性を自動的に削除変更する機能ユーザグループロール情報の管理が容易になるユーザ情報 ou=people uid=user01 uid=user02 グループ情報 cn: Users objectclass: groupofnames member:uid=user01,ou=people,dc= member:uid=user02,ou=people,dc= 2007/4/

19 Referential Integrity (2) ユーザ情報 ou=people uid=user01 uid=user02 削除グループ情報 cn=users objectclass: groupofnames member:uid=user01,ou=people,dc= member:uid=user02,ou=people,dc= ou=people uid=user01 uid=user02 cn=users objectclass: groupofnames member:uid=user02,ou=people,dc= 2007/4/

20 Referntial Integrity 設定 slapd.conf に以下の記述を追加 overlay refint # refintの対象属性名 ( 複数指定可能 ) refint_attributes member owner seealso 2007/4/

21 OpenLDAP のロードマップ OpenLDAP 2.4 で実装予定の機能マルチマスタマスタサーバを複数設置し更新処理の冗長化が可能 LDAP トランザクション LDAP の更新処理にトランザクションを追加 LDAP Dynamic Directory Services(RFC2589) データが動的に出現消滅する機能 LDAP Don t use Copy Control 複製レプリケーションされたデータを送信しないように要求する機能 2007/4/

WindowsでLDAP運用のこつ

WindowsでLDAP運用のこつ Windows で LDAP 運用のこつ JPUG PostgreSQL 技術セミナー 2007 年春 2007-02 24 NPO 法人日本 PostgreSQLユーザ会 ( 株 ) オープンソース総合研究所桑村潤 OpenLDAP LDAP ディレクトリサービスディレクトリ情報伝統的命名法の階層ツリーの例ドメイン名の階層ツリーの例 OpenLDAP OpenLDAPのプログラム slapd.confの構成