オープンなディレクトリサーバ 389-ds をベースに、LDAP認証情報の管理を簡易に行うためのWEBアプリケーションシステム。
389-dsのWindows Active Directoryの同期機能によりWindowsアカウントを統合管理できます。
389-dsは、NetscapeDirectory Serverを起源とする、オープンソースのディレクトリサーバで、RedHatInc. が標準ディレクトリサーバとして提供しているものです。
389-dsには、ディレクトリレプリケーションを基盤としたWindowsActiveDirectoryの同期機能を標準搭載し、同時に提供されるWindowsパスワード同期モジュールにより、Windowsのパスワード変更をオンデマンドにLDAPに同期することが可能です。
ShapeLDAPは、389-dsによって提供される認証基盤に対し、LDAPツリーのエントリ管理操作を容易にする機能を提供します。十分な設計によって構築されたLDAPエントリの運用において、最も煩雑になるのはユーザエントリの更新作業です。運用サイト毎にはそれぞれエントリが持つ属性やエントリの配置に個別のポリシーがあります。LDAPエントリの更新作業を汎用的に行うユーザインタフェースは数多くありますが、運用サイト毎の個別エントリに対するポリシーは扱えないため操作を必ずしも的確に行うことができません。そのために一括処理ができないなど使いにくく、間違いも起こしやすくなります。
ShapeLDAPは、LDAPツリー設計時に必ず必要となるエントリのポリシーをLDAP上のテンプレートに定義することにより、通常のエントリ操作をcsvファイルから一括で登録/削除を行うことが可能です。これらの登録情報は、389-dsの機能によってWindowsActive Directoryにも伝達され、すべてのユーザエントリ管理を認証サービスWEBシステムのみで行うことができます。
登録されたLDAPユーザーがLDAPに対してパスワードを更新すると、389-dsの標準機能により、非常に短い時間でWindowsActive Directoryに同期されます。WindowsユーザがWindowsネイティブの環境においてActiveDirectoryのパスワードを更新した場合は、Windowsにインストールされるパスワード同期モジュールによって、LDAPに同期されます。
LDAPから認証情報の提供を受けるシステムは、必ずしもLDAPに対する認証情報の更新を提供するとは限りません。特にメールボックス認証(pop/imap)やファイル転送認証(ftp)に認証情報を利用するものは、パスワード変更の方法が提供されません。このようなシステムのユーザに対しては、認証サービスWEBシステムがパスワード変更画面を提供します。すべてのユーザは簡便なWEBインタフェースによりLDAPの情報を更新すればよく、個別のパスワード変更システムを利用する必要はありません。
認証サービスWEBシステムでは、ユーザエントリ毎にアクセス権限情報を持ちます。管理権限を持つユーザはユーザの検索登録削除が可能です。利用権限しか持たないユーザは自身の情報を更新する以外の操作はできません。また、パスワードの初期化権限などは別途個別に与えることができますので、ヘルプデスク権限として利用するなどが可能です。
管理権限とパスワード初期化以外の権限は任意に設計することができます。例えば
「pop/imapは利用できるがftpできないユーザ」などを設定することも可能です。
(この機能はポリシーとして定義するエントリの属性値と、その属性値を利用するクライアントシステムの設定で実現します。)
ユーザの登録はcsvファイルによって行うことができます。ユーザ情報に関して多くの組織では管理部門が基礎データを持つ場合が多くあります。そのため、メールシステム等のエントリ登録は、管理部門から情報を得て別途登録となる場合も少なくありません。このような場合にも、データ交換を行いやすいcsvファイル形式で一括登録することができ、登録の手間を低減することができます。LDAPから検索したユーザの情報も同じ形式のcsvファイルとして取得することができ、更に、このcsvファイルに従い一括でユーザを削除することもできます。
ShapeLDAPは、389-dsによって実現される統合認証基盤を、より利用しやすくするポリシー提供システムとして機能します。またWEB画面はデザインテンプレートにより実現され、各サイトのデザインを簡易に取り込むことも容易ですので、認証をベースとしたポータルサイトとしての構成も可能となっています。
主要機能
389-dsに基づく機能
ShapeLDAPが提供する機能
動作環境
389-ds動作環境
(それぞれにjre1.6相当以上が必要)
ShapeLDAPの動作環境