LDAP、ディレクトリサービス、Active Directory
LDAP
LDAP(Lightweight Directory Access Protocol)は、ディレクトリデータベースへアクセスするためのプロトコルである。
LDAPに対応したサーバおよびクライアントには、Active Directory、Red Hat Directory Server、OpenLDAPなどがある。
ディレクトリサービス
ネットワークを利用するユーザやマシンなどについての情報を管理するサービス。
「ディレクトリ」という単語には「住所録」という意味があるそうなので、まぁそのまんまか。
分散型のディレクトリサービスではDNSが有名。
ディレクトリデータベースは、読み取り頻発・書き込み希少を念頭に最適化されている。
なお、ディレクトリサービスはITU-TによりX.500として標準化されている。
ディレクトリサービスが有効な局面例
Active Directory
Windows系で提供されるディレクトリサービス。
名前解決サービスにDNS、ディレクトリデータベースへのアクセスプロトコルにLDAP、認証プロトコルにKerberosを採用している。
管理範囲を「ドメイン」としてグルーピングし、さらにドメイン内に OU(Organizational Unit:組織単位) というサブグループを用意することで、管理し易くしている。
また、ドメインはツリー構造を持つこともできる(ドメインツリーと呼ぶ)。
さらに、ドメインツリー間に信頼関係を結ぶことも可能で、信頼関係を持つドメインツリーの集合をフォレストという。
よって、以下の構造になる。
フォレスト>ドメインツリー>ドメイン>OU>ユーザ
なお、同じフォレストに属するユーザーは、異なるドメインで管理される資源(該当コンピュータの共有フォルダなど)へのアクセスが可能になる。
その他 Active Directory ならでは(?)の部分としては、下記のような点が挙げられそう。
- ディレクトリサービスを提供するサーバを「ドメイン・コントローラ」と呼ぶ
- 認証情報に加えて、壁紙やスタートメニューの構成なども管理することができる