LDAP 【Lightweight Directory Access Protocol】

概要

LDAP(Lightweight Directory Access Protocol)とは、インターネットなどのIPネットワークを通じてディレクトリサービスにアクセスするためのプロトコル(通信規約)の一つ。ネットワーク上の利用者やサービス、周辺機器などの情報を一元的に管理することができる。

ディレクトリサービスとは、ネットワーク上のコンピュータの利用者やプリンタなどの周辺機器、共有フォルダなどのサーバ上のサービス、その他何らかの資源に関する情報をサーバ上のデータベースで一元管理する仕組みである。利用者アカウントをディレクトリに登録し、複数のコンピュータで横断的に利用するといったことができる。

LDAPは利用者がクライアントソフトを用いてディレクトリサーバに接続し、その管理する情報を利用するための通信手順やデータ形式を定めている。ITU-T勧告のX.500標準の一部を抜き出して簡略化し、TCP/IPで利用できるにしたもので、1995年にIETFによって最初の標準が発行された。

LDAPにおけるディレクトリ上の資源の識別や指定にはLDAP識別名(DN:Distinguished Name)と呼ばれる名前を用いる。「属性名=値」という形式の相対識別名(RDN:Relative DN)をカンマ区切りで並べたもので、属性名や値の具体的な仕様はディレクトリごとに異なる。

LDAP自体にはデータの暗号化やパスワードの秘匿といったセキュリティ保護機能がないため、暗号化プロトコルのSSL/TLSと併用してLDAPによる通信全体を暗号化するLDAPSLDAP over SSL/TLS)と呼ばれる通信方式が用いられることがある。通常のLDAPはTCPの389番ポートを利用するが、LDAPSは636番を利用することが多い。

LDAPでディレクトリサービスを提供するソフトウェアやコンピュータを「LDAPサーバ」、サーバにアクセスして資源を利用する側を「LDAPクライアント」という。著名なLDAPサーバとしては米マイクロソフト(Microsoft)社の「Active Directoryアクティブディレクトリ」やオープンソースソフトウェアの「OpenLDAPオープンエルダップ」などがある。

(2023.4.23更新)