PR

藤本 一男 メモレックス・テレックス ネットワークソリューション ITリサーチマネージャー

大貫 直人 メモレックス・テレックス SE部 ネットワークソリューションSE課 主任

「ディレクトリ・サービス」は,標準アクセス・プロトコル「LDAP」を用いて,複雑に関係し合うネットワーク機器の一貫した設定を実現します。ネットワーク資源の台帳の面に焦点をあてながら,管理方法,構築方法,およびアクセス方法を解説します。

 前回は,OSやアプリケーションのアクセス権限の一元管理の面から,ディレクトリ・サービスを解説しました。ディレクトリ・サービスは,ネットワーク機器の設定管理台帳としても使えます。

ネットワークの一貫制御を実現

TCP/IPネットワークでは,サービス品質やセキュリティを一貫して設定し管理することは困難でした。このことがメインフレーム中心の旧来のネットワークからの移行や,リアルタイムの音声や動画などの新しいサービスの実現の際に問題になります。ディレクトリ・サービスを使えば,複雑に入り組む通信の設定を一貫したポリシーに基づいて管理できます。

 TCP/IPネットワークは,基本的には最善を尽くすがサービス・レベルは保証しない「ベストエフォート」のネットワークです。一方メインフレームを中心に置く集中処理システムでは,レスポンス・タイム,スループット,通信の可否などのサービス・レベルの制御は不可欠です。現実にも集中処理システムは個々の端末を接続している環境がシステムにとって既知なため,サービス・レベルの制御は容易です。

サービス・レベルを制御できるネットを実現

 TCP/IPネットワークは,これまで接続性に重点を置いて展開されてきました。サービス・レベルの制御ができないことは,旧来のメインフレーム中心のネットワークとの大きな違いです。この点を考慮せずにTCP/IPネットワークに置き換えると,サービス品質やセキュリティの面で問題が発生する可能性があります。また,リアルタイムに音声や動画を転送する新しいアプリケーションの導入でも,エンド・ツー・エンドのサービス品質の制御が必要です。

 装置単体にサービス・レベルを制御する機能を実装したネットワーク機器は,90年代後半に登場してきました。QoS(サービス品質)に対応するルーターやLANスイッチ,安全なLAN環境をインターネットに拡張するVPN装置などです。ただし,これらの装置だけでは複雑に入り組む通信のサービス・レベルを,一貫して管理することはできませんでした。

 TCP/IPネットワーク全体を通してサービスを制御するには,複数の場所の,複数の種類のネットワーク装置のサービス設定を一貫して管理する仕掛けが必要です。このような管理は,ディレクトリ・サービスと,ディレクトリ・アクセス・プロトコルによって可能になります。そこで使われる標準アクセス・プロトコルは「LDAP」です。

 新しい機能を持つネットワーク機器にディレクトリ・サービスを組み合わせれば,サービス・レベルの管理が実現するだけでなく,エンドユーザーの職位,業務内容に応じたきめ細かなポリシーの設定も可能になります。リアルタイム系のアプリケーションもネットワーク全体の資源の消費量を勘案しながら管理できます。一貫したネットワーク制御によって,TCP/IPネットワークは,サービス品質を保証するインテリジェントなネットワークへと再構築できるのです。

複数ネット機器をユーザー情報も含めて管理

 ディレクトリ・サービスをネットワークの設定値台帳として使えば,設定値はルーター/スイッチ,VPN装置,メール・サーバーなどを通してネットワーク全体に適用できます。設定は,ネットワーク機器の管理コンソール(マネージャ)を通して適用するのが普通で,マネージャとディレクトリ・サービスの設定情報の交換にはLDAPを使用します。

図1 ネットワーク機器とユーザー管理の一元化
ディレクトリ・サービスに一貫したビジネス・ポリシーを与えることによって,ネットワーク機器とユーザーの一元管理が可能になる。
 ディレクトリ・サービスはそれぞれのマネージャの設定値台帳を統合管理する役割を持ちます。QoSやVPN認証など個々の設定を個別に管理するのではなく,ディレクトリ・サービスを使って単一の台帳でネットワーク全体を一元管理します。一元管理のメリットは,ネットワーク機器だけにとどまりません。ディレクトリ・サービスを使ってユーザー管理と一元化することで,例えばユーザーと,利用するアプリケーションに応じて,QoSやVPNの設定を変えるといったことが実現できます(図1[拡大表示])。

 米IREのVPN管理ソフトウエア「SafeNet/ VPN Policy Manager」は,ユーザーごとに接続を許可するVPN装置や認証方式を指定するのにディレクトリ・サービスを使用できます。このような設定を専用のディレクトリで管理すると,他のOSやアプリケーションとの間で認証情報に矛盾が生じる可能性があります。ディレクトリ・サービスで一元管理すれば,このような矛盾の発生は防げます。

図2 VPN管理のディレクトリ・サービスへの適用
ディレクトリ・サービスでVPNのポリシーを管理することで,OSやアプリケーションと矛盾なくVPNを設定することが容易にできる。
 VPN Policy Managerを使用する際には,VPNを管理する「VPN Manager」と,クライアント側にインストールする「SafeNet/Soft PK」が必要です(図2[拡大表示])。VPN Managerで作成したユーザーごとのVPNポリシーは,LDAPを使用してディレクトリ・サービスに登録します。

 クライアント側のSafeNet/Soft PKは,VPN Managerからあらかじめ受け取っておいた情報を元にディレクトリ・サービスにアクセスし,接続先と接続方法の情報を受け取り,対象のサーバーとVPN接続します。

 VPN Managerがポリシーを変更すると,その変更はディレクトリ・サービスに反映されます。クライアントはディレクトリ・サービスに定期的にアクセスしているので,変更はクライアントに自動的に反映されポリシーが維持されるのです。

図3 ディレクトリ・サービスによるメッセージ振り分けテーブルの一元管理米ミラポイントのメール・サーバーの例。LDAP(lightweight directory access protocol)を用いて振り分け先を問い合わせる。個別にテーブルを管理する必要はない。
 メールのルーティング機能を持つ米ミラポイントのメール・サーバー製品も,ディレクトリ・サービスによってメールボックス情報やユーザー認証情報などの設定を一元管理する機能を持ちます(図3[拡大表示])。この装置を複数設置した場合に,ユーザーのメールボックスが存在するサーバーをポイントするのに,ディレクトリ・サービスを使用するのです。装置ごとに分散データベース機能を持たせ,相互に参照,同期させても同じことは実現できます。しかし他のネットワーク装置や,ユーザー管理との一元化の観点からは,一つのディレクトリ・サービスで台帳を一元管理する方が効率的です。このため分散配置したときのユーザー管理は,ディレクトリ・サービスに任せています。

 このメール・サーバーは,負荷を分散するために同一ドメイン内でメール・サーバーを複数設置する場合に,メッセージをルーティングする機能を持ちます。メール・アドレスのユーザー名の部分(@の左側)から,該当するユーザーのメール・ボックスにメールを転送します。ユーザー数や,到着するメールの処理量の関係などで,メール・サーバーを複数設置するときに,設定を統一するためにディレクトリ・サービスを使用します。