サンビットシステムは、
オープンソースの活用とICT基盤構築、開発を通して、
人々の便利を支える会社でありたいと考えています。
 
サンビットシステムは
EMS-JPグループ会員です。




Powered By


 
579796

ShapeLDAP

オープンなディレクトリサーバ 389-ds をベースに、LDAP認証情報の管理を簡易に行うためのWEBアプリケーションシステム。
389-dsのWindows Active Directoryの同期機能によりWindowsアカウントを統合管理できます。

389-dsは、NetscapeDirectory Serverを起源とする、オープンソースのディレクトリサーバで、RedHatInc. が標準ディレクトリサーバとして提供しているものです。

389-dsには、ディレクトリレプリケーションを基盤としたWindowsActiveDirectoryの同期機能を標準搭載し、同時に提供されるWindowsパスワード同期モジュールにより、Windowsのパスワード変更をオンデマンドにLDAPに同期することが可能です。


 ShapeLDAPは、389-dsによって提供される認証基盤に対し、LDAPツリーのエントリ管理操作を容易にする機能を提供します。十分な設計によって構築されたLDAPエントリの運用において、最も煩雑になるのはユーザエントリの更新作業です。運用サイト毎にはそれぞれエントリが持つ属性やエントリの配置に個別のポリシーがあります。LDAPエントリの更新作業を汎用的に行うユーザインタフェースは数多くありますが、運用サイト毎の個別エントリに対するポリシーは扱えないため操作を必ずしも的確に行うことができません。そのために一括処理ができないなど使いにくく、間違いも起こしやすくなります。




ShapeLDAPは、LDAPツリー設計時に必ず必要となるエントリのポリシーをLDAP上のテンプレートに定義することにより、通常のエントリ操作をcsvファイルから一括で登録/削除を行うことが可能です。これらの登録情報は、389-dsの機能によってWindowsActive Directoryにも伝達され、すべてのユーザエントリ管理を認証サービスWEBシステムのみで行うことができます。

 登録されたLDAPユーザーがLDAPに対してパスワードを更新すると、389-dsの標準機能により、非常に短い時間でWindowsActive Directoryに同期されます。WindowsユーザがWindowsネイティブの環境においてActiveDirectoryのパスワードを更新した場合は、Windowsにインストールされるパスワード同期モジュールによって、LDAPに同期されます。


 LDAPから認証情報の提供を受けるシステムは、必ずしもLDAPに対する認証情報の更新を提供するとは限りません。特にメールボックス認証(pop/imap)やファイル転送認証(ftp)に認証情報を利用するものは、パスワード変更の方法が提供されません。このようなシステムのユーザに対しては、認証サービスWEBシステムがパスワード変更画面を提供します。すべてのユーザは簡便なWEBインタフェースによりLDAPの情報を更新すればよく、個別のパスワード変更システムを利用する必要はありません。

 認証サービスWEBシステムでは、ユーザエントリ毎にアクセス権限情報を持ちます。管理権限を持つユーザはユーザの検索登録削除が可能です。利用権限しか持たないユーザは自身の情報を更新する以外の操作はできません。また、パスワードの初期化権限などは別途個別に与えることができますので、ヘルプデスク権限として利用するなどが可能です。

 管理権限とパスワード初期化以外の権限は任意に設計することができます。例えば

「pop/imapは利用できるがftpできないユーザ」などを設定することも可能です。

(この機能はポリシーとして定義するエントリの属性値と、その属性値を利用するクライアントシステムの設定で実現します。)


 ユーザの登録はcsvファイルによって行うことができます。ユーザ情報に関して多くの組織では管理部門が基礎データを持つ場合が多くあります。そのため、メールシステム等のエントリ登録は、管理部門から情報を得て別途登録となる場合も少なくありません。このような場合にも、データ交換を行いやすいcsvファイル形式で一括登録することができ、登録の手間を低減することができます。LDAPから検索したユーザの情報も同じ形式のcsvファイルとして取得することができ、更に、このcsvファイルに従い一括でユーザを削除することもできます。


 ShapeLDAPは、389-dsによって実現される統合認証基盤を、より利用しやすくするポリシー提供システムとして機能します。またWEB画面はデザインテンプレートにより実現され、各サイトのデザインを簡易に取り込むことも容易ですので、認証をベースとしたポータルサイトとしての構成も可能となっています。


主要機能

389-dsに基づく機能

  • LDAPに基づいた認証情報の他システムへの提供

  • Replication機能に基づいた、Windowsドメインへのユーザ追加、削除機能(複数ドメインを設定可能)

  • passsync機能に基づいた、Windowsパスワード変更のLDAP同期機能


ShapeLDAPが提供する機能

  • LDAP認証に基づいたログイン機能

  • ユーザ自身のパスワード変更機能

  • 管理ユーザのパスワード初期化機能

  • 条件指定によるユーザ検索機能

  • 検索ユーザに対する一括属性変更
    (パスワード初期化)

  • 検索ユーザに対する個別属性修正

  • 検索ユーザの一括削除

  • 新規ユーザの登録

  • CSVファイル指定によるユーザ一括登録

  • CSVファイル指定によるユーザ一括削除

  • 検索結果のCSVファイルダウンロード


動作環境

389-ds動作環境

  • RedHat Enterprise Linux 6.x以上

  • CentOS6.x 以上

(それぞれにjre1.6相当以上が必要)



ShapeLDAPの動作環境

  • Apache2.x及びPHP5.xを構成でき得るオペレーティングシステム環境なら
    プラットフォームを問いません。