LDAPとActive Directory(AD)の違い

Active Directoryは、ユーザー、コンピューター、プリンターなどのIT資産を編成するために使用されるMicrosoft製品であり、ほとんどのMicrosoft Officeおよびサーバー製品と統合されています。

LDAP(Lightweight Directory Access Protocol)はプロトコルであり、サービスではありません。LDAPは、さまざまな種類のディレクトリ(Active Directoryを含む)との通信とクエリに使用されます。このように、サービスであるか否かという違いがあります。

Active Directoryとは?

Microsoftは、Windowsデスクトップ、Windows Server、Exchange、Sharepointなど、多くのITソフトウェアを作成しています。

IT環境では、アクセスするアプリケーションごとに個別のパスワードを使用することは、ユーザーにとって望ましいことではありません。また、IT管理者は、ユーザーをグループ化し、コンピューターとプリンターへのアクセスを管理できるようにしたいと考えます。

Active Directoryは、単一のディレクトリに情報を格納することでユーザーとコンピューターの管理を容易にするために作成されました。

ディレクトリのない企業で働くことを想像すると、以下のような不都合が発生することがわかります。

  • アプリケーションごとにユーザー名とパスワードを入力し続ける必要がある。
  • IT管理者は、アクセスが必要なアプリケーションそれぞれにユーザーを手動で割り当てる必要がある。
  • パスワードを更新したり、姓が変わったりした場合には、アカウントを持つすべてのアプリケーションで更新を実行する必要がある。

組織内のすべてのユーザー、コンピューター、その他の資産に関する情報は、ディレクトリによって中央サービスに集約されます。また、ディレクトリは資格情報(ユーザー名とパスワードなど)を格納するので、使用するすべてのアプリケーションに対してユーザーを認証できます。

Active Directoryの場合、資産は以下の3つの階層に仕分けされます。

  1. ドメイン:同じActive Directoryデータベースを共有するユーザー(従業員など)とデバイス(コンピューターなど)は、ドメインの一部です。ドメインは通常、企業または企業内の組織に関連付けられます(「エンジニアリングドメイン」など)。
  2. ツリー:ツリーは、ドメイン間の信頼を定義し、組織の様々な部分で誰が何にアクセスできるかを決定します。これによってIT管理者は、自分が担当するコミュニティに含まれるユーザーやデバイスを管理できます。
  3. フォレスト:大規模な組織や企業間の関係で、ドメインはフォレストにグループ化されます。フォレスト間の信頼は通常、企業が別の企業を買収した後に構築されます。両方の組織の従業員は、相互のリソースにアクセスする必要があります。

これらのレベルには、それぞれ固有のアクセス権と通信特権が指定されます。

Active Directory Tiers Diagram

Active Directoryには、次のようなセキュリティ機能も含まれます。

  • 認証:ユーザーは、ネットワーク上のリソースにアクセスする前に、関連する資格情報を提供する必要があります。
  • セキュリティグループ:IT管理者は、ユーザーをグループに編成します。その後、グループはアプリに割り当てられ、これによって管理が最小限に抑えられます。
  • グループポリシー:Active Directoryには、リモートでコンピューターにアクセスできるユーザーを定義したり、ブラウザのセキュリティ設定を構成したりするポリシーが多数あります。

Active Directoryでは、様々な方法でユーザーを認証できます。Active Directoryはこれまでに、LAN Manager、NTLM、Kerberosをサポートしてきました。その都度、認証プロトコルはより使いやすく安全になるように進化しました。

Active Directoryの主な目的は、すべてのMicrosoftテクノロジーを組み合わせることで、ユーザーがリソースに簡単にアクセスできるようにし、管理者がアクセスを安全に定義できるようにすることでした。

LDAPとは?

LDAPは、アプリケーションが非常に迅速かつ大規模なユーザー情報のクエリを実行できるように設計されたプロトコルです。通信業界や航空業界などには理想的でした。

Active Directoryは、数千人の従業員や多数のコンピューターを抱えるような企業向けに設計されたものです。LDAPは、電話網の加入者を認証するために、何百万もの要求を処理する必要があった無線電話事業者を支援するアプリケーション向けに設計されたプロトコルでした。

LDAPは製品に依存しないプロトコルです。実際にActive Directoryは、LDAPベースのアプリケーションが既存のActive Directory環境に連動できるようにするため、LDAPをサポートするように実装されています。

プロトコルとして、LDAPは主に以下のことに関係します。

  • ディレクトリ構造:ディレクトリ内の各エントリは属性を持ち、ディレクトリのクエリに使用される一意の識別名(DN)を使用してアクセスできます。
  • データの追加、更新、読み取り:LDAPは、データの高速検索と読み取りに最適化されています。
  • 認証:LDAPでは、ユーザーはサービスに「バインド」されます。認証は、単純なユーザー名とパスワード、クライアント証明書、またはKerberosトークンで行われます。
  • 検索:LDAPで特に優れている特性の1つは検索です。繰り返しになりますが、LDAPベースのサーバーは通常、大量のクエリ用に設計されており、通常はデータセットの検索が行われます。

LDAPとActive Directoryの違いを比較

LDAPはプロトコルですが、ベンダーはLDAPをディレクトリとの主要な通信手段とするディレクトリを構築してきました。多くの場合、これらはLDAPサーバーと呼ばれます。

このサーバーは主に、アプリケーションのユーザーに関する情報ストアとして使用されます。その結果、Active Directoryとの違いを比較されることが往々にしてあります。これは混乱を招き、LDAPサーバーとActive Directoryのどちらが優れているかという疑問を持つ人が出てきます。

このような比較は公平ではなく、質問に真の意味で適切に答えることはできません。本来であれば、違った質問をすべきでしょう。たとえば、「Active Directoryは、Ping IdentityディレクトリやOracle Internet Directoryを使用するよりも、アプリケーションディレクトリに適した選択肢か」といった質問をすべきです。

通常、LDAPサーバーは、無線通信プラットフォームで行われる何百万ものサブスクライバークエリなど、非常に大規模なアプリケーション向けとして適しています。

LDAPは、多数のユーザー認証が行われる状況にも適しています。たとえば、Twitterは以前、ユーザー認証のために非常に大規模なLDAPサービスを使用していました。

Active Directoryは設計上、単一のユーザーコミュニティを含む非常に大規模な実装には適していません。しかし、組織が複数のフォレストとドメインに分散する場合には、優れた拡張性を提供します。

数十万人のユーザーを含むActive Directoryの実装もありますが、それらはすべてローカライズされたドメインとフォレストで管理されます。

Active DirectoryがLDAPより優れている点

Active Directoryは、Windowsのクライアント、サーバー、SharePoint/Exchangeなど、オンプレミスのMicrosoftベースのテクノロジーへのアクセスを管理するという、その主目的のためのジョブを実行する上で優れています。

Active Directoryのグループポリシーは、ドメインに参加するWindowsコンピューターとActive Directoryとの緊密な統合により、Windowsコンピューターの保護に非常に効果的です。LDAPサーバーには同等のものはありません。

LDAPとActive Directory、自社に最適な選択は?

Oktaは、Active DirectoryLDAP環境の両方をサポートしています。それぞれに明確なメリットがあり、どちらが適しているかはビジネスによって異なります。

Oktaのお客様の多くは、組織内にActive DirectoryサーバーとLDAPサーバーの両方を持っています。Oktaは両方に接続し、Okta Universal Directoryに情報を統一できます。

参考文献

Active Directory Domain Services Overview(2017年5月、Microsoft)

Understanding Active Directory(2018年3月、Medium)

What Is Kerberos Authentication?(2009年10月、Microsoft)

Configuring Active Directory for LDAP Authentication(IBM)

Active Directory Domain Services Overview(2017年5月、Microsoft)

Understanding Active Directory(2018年3月、Medium)

North Korean Hackers May Be Dabbing in Ransomware Again(2020年7月、PC Magazine)

Report Finds Serious Flaws in COVID-19 Vaccine Developers' Systems(2020年7月、xTelligent Healthcare Media)

LDAP and Active Directory(Active Directory 360)