いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ

LDAPサーバ(エルディーエーピーサーバ)とは | 意味や読み方など丁寧でわかりやすい用語解説

LDAPサーバ(エルディーエーピーサーバ)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

エルダップサーバ (エルダップサーバ)

英語表記

LDAP server (エルディーエーピーサーバー)

用語解説

LDAPサーバとは、Lightweight Directory Access Protocolの略称であるLDAPというプロトコルを用いて、ネットワーク上に存在する様々な情報を一元的に管理するためのサーバである。ここで言うディレクトリサービスとは、特定の形式で整理された情報を格納し、検索や参照を容易にする仕組みを指す。最も一般的な利用例は、組織内のユーザー情報(ID、パスワード、氏名、メールアドレス、所属部署など)やコンピュータ情報、プリンタなどの共有リソース情報を集約して管理することである。これにより、複数のアプリケーションやシステムが同じ情報を参照できるようになり、情報管理の効率化と一貫性の確保が実現される。例えば、あるシステムでパスワードを変更すれば、LDAPサーバを参照する他の全てのシステムにもその変更が即座に反映されるため、ユーザーはシステムごとにパスワードを管理する手間から解放される。これは、シングルサインオン(SSO)と呼ばれる仕組みを実現するための重要な基盤技術の一つとなっている。LDAPは、元々X.500というより複雑なディレクトリサービスのプロトコル(DAP)を、より簡単に利用できるように軽量化(Lightweight)したものとして開発された経緯を持つ。TCP/IP上で動作するクライアント・サーバモデルを採用しており、標準化されたプロトコルであるため、様々なOSやアプリケーションで利用することが可能である。

LDAPサーバが管理するデータは、ディレクトリ情報ツリー(DIT: Directory Information Tree)と呼ばれる階層構造で構成される。この構造は、現実世界の組織構造などを反映しやすく、直感的にデータを整理できるという利点がある。ツリーの各構成要素はエントリと呼ばれ、一つ一つの情報単位を表す。例えば、一人のユーザーや一台のコンピュータがそれぞれ一つのエントリに対応する。各エントリは、ツリー内で自身を唯一特定するための識別名(DN: Distinguished Name)を持つ。DNは、エントリ自身の名前(相対識別名 RDN: Relative Distinguished Name)と、上位エントリのDNを組み合わせることで表現される。例えば、「dc=example,dc=com」というドメイン内の、「ou=users」という部署に所属する、「cn=Taro Yamada」というユーザーのDNは、「cn=Taro Yamada,ou=users,dc=example,dc=com」のようになる。ここで、「dc」はDomain Component、「ou」はOrganizational Unit(組織単位)、「cn」はCommon Name(一般名)を意味する。各エントリは、一つ以上の属性(Attribute)を持つ。属性は、属性タイプと属性値のペアで構成され、エントリの具体的な情報を保持する。例えば、ユーザーエントリは「uid: tyamada」「mail: t.yamada@example.com」「telephoneNumber: 03-1234-5678」といった属性を持つ。どのようなエントリがどのような属性を持つことができるかは、スキーマと呼ばれる定義情報によって厳密に定められており、データの整合性を保つ役割を担っている。

クライアントがLDAPサーバにアクセスして情報を操作するには、いくつかの基本的な操作が定義されている。まず、サーバとの通信を開始するためにBind(バインド)操作を行う。これはサーバへの接続要求と認証を兼ねており、誰がどのような権限でアクセスするのかをサーバに伝える。次に、特定の条件に合致するエントリを探し出すためにSearch(検索)操作を使用する。これはLDAPの最も頻繁に利用される機能である。新しいエントリを追加する場合はAdd(追加)、既存のエントリ情報を変更する場合はModify(変更)、エントリを削除する場合はDelete(削除)操作が用いられる。通信を終了する際にはUnbind(アンバインド)操作を実行する。これらの標準化された操作を通じて、クライアントはディレクトリ情報を安全かつ効率的に読み書きできる。

システムがLDAPサーバを利用してユーザー認証を行う際の一般的な流れは次のようになる。まず、ユーザーがアプリケーションにIDとパスワードを入力する。アプリケーションは、LDAPクライアントとして機能し、あらかじめ設定された管理者権限などのアカウントでLDAPサーバにBindする。次に、入力されたIDをキーにしてユーザーエントリをSearchし、該当するユーザーのDNを取得する。そして、取得したDNとユーザーが入力したパスワードを使って、再度LDAPサーバへのBindを試みる。このBind操作が成功すれば、入力されたパスワードが正しいと判断され、認証は成功となる。もしBindに失敗すれば、パスワードが誤っていると判断され、認証は失敗となる。アプリケーションはこの結果に基づき、ユーザーにサービスの利用を許可したり、アクセスを拒否したりする。

代表的なLDAPサーバの実装としては、オープンソースソフトウェアであるOpenLDAPが広く知られており、Linux環境などで多く採用されている。また、Microsoft社のWindows Serverに含まれるActive Directoryも、内部的にLDAPプロトコルをサポートする大規模なディレクトリサービスであり、企業環境で広く利用されている。このように、LDAPサーバは、組織内の認証情報やリソース情報を集約し、一元管理するための標準的かつ強力な仕組みであり、現代のITシステム基盤において不可欠な存在である。