5.25 OpenLDAPService

LANSA Integrator

5.25 OpenLDAPService


OpenLDAPServiceは、LDAPに互換性があるディレクトリにアクセスするアプリケーション開発を可能にします。

LDAP(Lightweight Directory Access Protocol)は、全世界的に有効なデータベースとシステムのプロトコルです。ディレクトリベースのアプリケーション、ソリューションを配布するための業界標準として広く受け入れられているプロトコルです。

LDAPは、通常、ディレクトリ(またはデータベース)の検索に使用され、以下の仮定例のように使用するのが理想的です。

·         電話やメールのディレクトリなどの比較的スタティックなデータに定期的にアクセスする必要があるとします。例えば、メール・アドレスや電話番号は頻繁に変わることはありませんが、ユーザーが1日に何度もアクセスする場合があります。

·         主に読み取り専用のデータにアクセスする必要があるとします。LDAP準拠ディレクトリは、データを更新、追加、または削除するよりも情報を速く読み込むように最適化されます。もう一度繰り返しますが、ユーザーは中央システムのメール・アドレスに定期的にアクセスする場合があります。ただし、この情報が更新されることはめったにありません。あるいは、情報を含むディレクトリを、ネットワークに接続されたすべてのプリンターに保持できます。

·         分散データベースを配布する必要があるとします。この場合、参照情報を複数のサーバー上で保持できます。このようなアーキテクチャは、例えば、1台のサーバーが停止したときに、別のサーバーが必要な情報を取り出せるようにする場合に便利です。

·         ユーザーが異なるシステムの情報にアクセスする必要がある場合、複数のログオンを回避するようにシステムを設定したいとします。1回のログオンを全体に適用することにより、ユーザーがパスワードを忘れた場合にヘルプ・デスクにかかる作業負荷が大幅に軽減されます。

LDAPディレクトリが使用される典型的な例は、大規模組織に大容量の社員ディレクトリがある場合です。このディレクトリには、スタッフ、パートナーおよび顧客がアクセス可能なスタッフの連絡先情報が含まれます。この連絡先情報のディレクトリはそれほど頻繁に変わることはないため、多くのシステム(メール・システムなど)からの読み込みアクセスが重い場合に主に使用されます。

LDAPディレクトリ・ツリー内の一意のオブジェクトは、識別名(DN)と呼ばれる名前で参照されます。ツリー内のオブジェクトには相対識別名(RDN)があります。これは、そのオブジェクトの親に相対的なオブジェクトを特定します。したがって、DNはRDNを組み合わせた集合として定義し、RDNはディレクトリ全体でDNを一意に特定します。一般的に、RDNの形式は属性=値です。属性はc (国)、cn (共通名)、o (組織)などです。DNを構築するには、オブジェクトのRDNとその親のRDNを組み合わせます。例えば、サンプル・ツリーのルートのDNは、ou=Sales Team, o=LANSA, c=auになります(この場合、オーストラリアの企業LANSAの営業チームを一意に定義します)。営業チームのメンバーのRDNは、cn=Terry Briggs (営業担当の共通名はTerry Briggs)になります。したがって、Terry BriggsをLANSAオーストラリアの営業チームのメンバーとして一意に定義するディレクトリ・オブジェクトのDN (識別名)は、cn=Terry Briggs, ou=Sales Team, o=LANSA, c=auになります。

LANSAのOpenLDAPServiceは、アプリケーション内からLDAPディレクトリに簡単にインターフェースで接続できるように設計されています。LDAPディレクトリの主な目的は読み込み操作ですが、エントリーを更新、作成、削除する場合もあります。OpenLDAPServiceにより、必要に応じてこれらの作業を行うことができます。

OpenLDAPServiceを使用する場合、LANSAではLDAPサーバーに対するインターフェース要件にすべて対応するため、自身で実行する場合の手間が省かれます。サービスには以下のコマンドが用意されているため、LDAPディレクトリで実行可能な標準トランザクションを行うことができます。

Get

ディレクトリのDNに対して単一のレコード取り込みを行います。

Add

ディレクトリに単一のレコードDNを追加します。

Modify

特定のDNの属性値

Delete

ディレクトリからDNレコードを削除します。

Search

ディレクトリ内の複数のDNレコードを検索します。

 

OpenLDAPServerでは、アプリケーションをサーバーにバインドしたり、サーバーとのバインドを解除したりする場合に必要なコマンドも提供されます。バインドという用語は業界標準用語で、アプリケーションがLDAPサーバーに接続する方法を示します。

このサービスを使用する前に、IBM i でLDAPサーバーを設定して使用する方法を理解する必要があります。詳細については、IBM IBM i マニュアルの該当トピックを参照してください。

関連サービス

OpenLDAPServiceは他のサービスに依存しません。このサービスを単体で使用する場合、LDAPディレクトリ内のエントリーの読み込み、追加、修正、削除を行うことができます。

技術仕様

OpenLDAPServiceは省略値でポート389を使用します。セキュアな接続の場合、ポート636を使用します。