LDAP えるだっぷ
LDAPディレクトリサービスActive Directory認証ユーザー管理X.500
LDAPについて教えて
簡単に言うとこんな感じ!
会社の社員情報(名前・部署・パスワード)を一元管理する「社員名簿サーバー」へのアクセスプロトコルだよ。アプリやシステムが「このユーザーはどんな権限を持つか」をLDAPサーバーに問い合わせることで、一括でID管理ができるんだ!
LDAPとは
LDAP(Lightweight Directory Access Protocol) は、組織内のユーザー・グループ・コンピューターなどの情報を階層的なディレクトリとして管理し、検索・認証するためのプロトコルです。
「ディレクトリ」とは、電話帳のような情報の目録で、LDAPはその電話帳(ディレクトリサーバー)に問い合わせるための規格です。企業のシステムでは、LDAPサーバーにユーザー情報を集約し、各種アプリがLDAPへ問い合わせることでシングルサインオン(SSO)の基盤となります。
ディレクトリの構造はツリー状(DIT:Directory Information Tree) で、DN(識別名)というパス形式で各エントリーを特定します。
dc=example,dc=com (ドメイン)
└── ou=People (OU:組織単位)
└── cn=Taro Yamada (ユーザー)
├── mail: taro@example.com
├── uid: tyamada
└── userPassword: {SSHA}xxxxLDAPの主なオペレーション
| 操作 | 説明 |
|---|---|
| Bind | サーバーへの認証(ログイン) |
| Search | ディレクトリの検索(フィルター指定可) |
| Add | エントリーの追加 |
| Modify | エントリーの変更 |
| Delete | エントリーの削除 |
| Compare | 属性値の比較 |
| Unbind | セッションの切断 |
歴史と背景
- 1988年:X.500ディレクトリサービスがITU-TとISOによって策定
- 1993年:X.500を軽量化したLDAPv1がRFC 1487として発表
- 1997年:LDAPv3がRFC 2251として標準化(現在でも使われるバージョン)
- 2000年代:Active DirectoryがLDAPベースで普及、企業のID基盤として定着
- 2010年代〜:クラウド・SaaS移行とともに、LDAP単体よりもSAML/OIDC/IDaaS連携が増加
- 現在:レガシーシステムやオンプレミス環境ではまだ現役
LDAPと主なディレクトリサービスの比較
| 製品・サービス | 種別 | 特徴 |
|---|---|---|
| Microsoft Active Directory | LDAP実装 | Windowsとの統合が深い企業標準 |
| OpenLDAP | OSS LDAP実装 | Linux環境でよく使われる |
| 389 Directory Server | OSS LDAP実装 | Red Hat系のLDAP実装 |
| Microsoft Entra ID | クラウドIAM | LDAPではなくOAuth2/OIDC/SAMLベース |
| AWS Directory Service | マネージドAD/LDAP | AWSでActive Directoryを利用できる |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4511 | LDAPv3のプロトコル仕様 |
| RFC 4512 | LDAP Directory Information Models |
| RFC 4513 | LDAPの認証方式 |
| RFC 4519 | LDAP Schema for User Applications |
関連用語
- Active Directory — LDAPをベースにした企業向けディレクトリサービス
- Kerberos — LDAPと組み合わせてActive Directoryの認証を担うプロトコル
- SSO — LDAPが基盤となるシングルサインオンの仕組み
- IDaaS — LDAPのクラウド版として台頭するサービス