LDAP、Kerberos、RADIUSで統合認証を自在にあやつるHP-UX

≫ HP-UX 11i
Knowledge-on-Demand

≫コラム

≫連載
≫特集、特別企画

ドキュメント/ツール

HPラボ

≫Webキャスト

Netscape Directory Serverを軸とするLDAP統合

LDAP（Lightweight Directory Access Protocol）による認証基盤の統合化を実施する上で、もっとも大きな障害となるのは商用LDAPサーバのコストの高さであろう。例えば、マイクロソフトのActive Directoryやノベルなどの商用のディレクトリサーバ製品を導入する場合、クライアント数によってはかなり高額の出費を覚悟しなくてはならない。一方、コストをかけずにLDAPサーバ構築を可能にするOpenLDAPのようなオープンソース・ソフトウェアも存在するものの、スケーラビリティやパフォーマンス、ベンダー・サポートの面を考えれば、導入の難しいケースも多い。

しかしもし、商用LDAPサーバが無償で、かつエントリ数も潤沢に利用できるとすれば、LDAPサーバ導入の敷居はきわめて低くなるはずだ。HP-UXは、まさにそうしたソリューションを提供している。HP-UX 11i v1およびv2には、Netscape Directory Server 6.11がバンドルされており、イントラネット版（社員情報の管理に使用）であれば、ユーザエントリ数は無制限に利用できる。また、エクストラネット版（社員ではない一般ユーザの情報管理に利用）も、最大25万ユーザエントリまで無償で使用することができる。

このソリューションの優れた点は、冒頭でも述べたとおり、Netscape Directory ServerをHP-UXのオペレーティング環境の一部分として一体化していることにある。よって、OpenLDAPと同じくコストを一切かけずに導入可能な一方で、HP-UX本体と同じ品質検査とベンダー・サポートのメリットを享受できるわけだ。また、Netscape Directory ServerはLDAP仕様の黎明期を支えた開発者によって実装されており、商用LDAPサーバとしての機能性や信頼性、パフォーマンスは折り紙付きである。ITインフラを支える「止まってはならない」土台としてLDAPサーバを導入する企業にとっては、このソリューションは理想的とも言えるだろう。

	多彩なLDAPインテグレーションに対応

HP-UXでは、Netscape Directory Server以外にも多彩なLDAPソリューションを提供している。ここで、それらの機能を概観しよう。

【LDAP-UX Client Services】
「LDAP-UX Client Services」は、HP-UXをLDAPクライアントとして動作させるための機能である。具体的には、UNIXの標準的な認証アーキテクチャであるPAM（Pluggable Authentication Modules）およびNSS（Name Service Switch）によるユーザ認証をLDAP経由で実施するためのモジュールが提供されている。このモジュールを利用すれば、LDAPサーバ上に保管されたユーザやパスワード情報を元にして、Apacheやメール、Samba、UNIXログインなどのユーザ認証を一括して実施することができる。

【NIS/LDAP Gateway】
「NIS/LDAP Gateway」は、いわば「LDAPベースのNISサーバ」である。具体的には、NISドメインごとに設置されたNIS/LDAP GatewayがNISスレーブサーバとして動作する。同サーバは、NISクライアントからの認証リクエストを受け付け、それをLDAP照会に変換する仕組みだ。これにより、NISマスターサーバが不要になるだけでなく、大規模なNISドメインにおけるスケーラビリティやレスポンスの問題も解消される。

図1：Netscape Directory Serverによる認証統合化の例

図1は、Netscape Directory Serverを中心としたLDAPインテグレーションの例である。この例では、HP-UXサーバ上でNetscape Directory Serverを動作させ、そこを起点として多種多様なユーザ認証を一括して引き受けている。また同図が示すとおり、Windowsクライアント向けのファイル・サーバとして利用するSambaや、ネットワーク・インフラで利用されるRADIUSのユーザ認証にLDAPを用いることも可能だ。

次に、HP-UXに無償バンドルされるKerberosについて触れてみよう。