カテゴリ：10.アプリケーション層（L5～L7） > 10.7 各種プロトコル

LDAP

LDAP（Lightweight Directory Access Protocol）です。
認証のプロトコルでは、Radiusプロトコル、ActiveDirectory、LDAPの3つがよく利用されます。
ネットワークスペシャリストを目指す女性SEあれ？

RadiusサーバもADサーバも、どちらもユーザ情報を持った認証サーバですよね。
LDAPも同じですか？
はい、そう考えてください。Radiusにしてもそうですが、Radiusはプロトコルであり、認証サーバはRadiusサーバと呼ばれます。LDAPも同じで、LDAPはプロトコルですが、LDAPサーバというと、ユーザ情報を持った認証サーバを指します。
※ADに関しては、プロトコルはNTLMv2などを使います。
ネットワークスペシャリストを目指す女性SEハテナ

RADIUSサーバとLDAPサーバの使い分けはどうするのですか？
外部からのリモートアクセスや無線LANの認証などのユーザ認証ではRADIUSが利用されます。一方、LDAPサーバは、ディレクトリサービスで利用されます。ディレクトリサービスですから、階層構造で管理される社員の情報および部署やアクセス権など、多くの情報を管理できます。それらの複雑な社員の属性情報を管理する場合に、LDAPサーバおよびLDAPのプロトコルが利用されます。

過去問（H22秋SC午後Ⅱ問2）をみてみましょう。

LDAPのアカウント情報では, inetOrgPersonといったオブジエクトクラスによって組織の利用者の情報を管理する標準的な[　b　]を用いている。例えば,製品開発部のスズキタロウ氏が社内で利用するLDAP用のアカウント情報を[　c　]によってテキスト形式で示すと,図7となる。

dn: uid=suzuki,ou=seihin-kaihatsu,dc=a-companyen: Taro Suzuki
sn: Suzuki
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
ou:製品開発部
teleDhonenumber:03-XXXX-5555
c=com

図7 LDAPにおけるスズキタロウ氏のアカウント情報(抜粋)

さて、空欄ですが、以下が入ります。
b　スキーマ
c　LDIF
ネットワークスペシャリストを目指す女性SEあれ？

　

LDAPの通信は暗号化されていますか？

いえ、は暗号化されていないので、暗号化するにはLDAP over TLSを使います。
過去問（H21春SC午前Ⅱ）をみてみましょう。

問10 通信の暗号化に関する記述のうち,適切なものはどれか。
ア IPsecのトランスポートモードでは,ゲートウェイ間の通信経路上だけではなく,発信ホストと受信ホストとの間の全経路上でメッセージが暗号化される。
イ LDAP クライアントがLDAPサーバに接統するとき,その通信内容は暗号化することができない。
ウ S/MMEで暗号化した電子メールは,受信側のメールサーバ内に格納されている間は,メール管理者が平文として見ることができる。
エ SSLを使用すると,暗号化されたHTML文書はブラウザでキャッシュの有無が設定できず,ディスク内に必ず保存される。

⇒正解はア
イに関しては、LDAP over TLSを使うことで通信内容を暗号化することができます。

SYSLOG

NW機器やサーバで一般的に使われているログ転送のプロトコルは，syslogです。syslogはサーバだけではなく，ネットワーク機器のログを収集・転送するときにも利用できます。

過去問（H19秋NW午後Ⅰ）では、「Webサーバにアクセスログを保存せず,Webアクセスが発生するごとに, Webサーバからログ解析サーバヘsyslogプロトコルを利用して,アクセスログを転送する。」とあります。

過去問（H26春SC午後Ⅰ問2）では、穴埋めで問われました。
「インターネット接続システムの各サーバでは，サーバヘのアクセス及びサーバ上でのプログラムの動作のログをログサーバに保存している。ログを収集，転送する方式には，UNIXで一般的に使われている[ a ]というプロトコルを利用している。」

過去問（H30秋NW午後Ⅰ問2）では、「SYSLOGは，トランスポートプロトコルとしてRFC 768で規定されている[　ウ：UDP　]を用いている。」とあります。

■SYSLOGを試してみよう
SYSLOGの動作を確認してみましょう。
今回は、CatalystのスイッチのIFをダウンさせて、SYSLOGサーバにログを転送する様子をみてみます。
Catalystスイッチの設定は簡単です。
SYSLOGサーバのIPアドレスを指定（今回は192.168.1.1）するだけです。

Switch#conf t
Switch(config)#logging host 192.168.1.1

この状態で、ポート5を抜くと、SYSLOGサーバにUDPでSYSLOGメッセージが転送されます。
syslog

NTP

■１．NTPとは
NTP(Network Time Protocol)は、言葉の通り、ネットワーク(Network)上の機器の時刻(Time)を正確に維持するためのプロトコル（Protocol)です。

まずは過去問（H25春SC午後Ⅱ問2）を見てみよう。

外部DNSサーバは，インターネット上の時刻サーバとの間で，[　a　]を用いて時刻同期を行っている。FW及び情報システムの各サーバは，外部DNSサーバとの間で，[　a　]を用いて時刻同期を行っている。

空欄に当てはまるのがNTPである。

NTPに関しては、ネットワークスペシャリスト試験の過去問（H19NW午後1問3）で詳しく問われた。その問題を見てみよう。

〔NTPの仕組み〕
ネットワーク上の機器の時刻を正確に維持するために，NTP(Network TimeProtocol)を使用する。NTPは，次の2点を前提に設計されている。
・ネットワーク上に正確な時刻情報を保持する機器がある。
・時刻を同期させる機器間の通信で，要求電文と応答電文がネットワーク内で遅延する時間が等しい。
　NTPは，stratumと呼ばれる階層構造をもち，最上位の機器が，原子時計や標準電波，[　a　]用人工衛星などの正確な時刻源から時刻を取得し，下位の機器に提供する。遅延時間にばらつきがあると，時刻の精度に影響するので，時刻を同期させる機器は①ネットワーク的に近い方がよい。

（中略）

〔タイムサーバ〕
インターネット上にはタイムサーバが公開されているので，そこから時刻を取得することが可能である。その場合，②時刻を取得する機器を限定し，その取得した時刻を組織内に展開する構成が推奨されている。このように，インターネット上のタイムサーバを利用したとしても，社内にタイムサーバを設置したり，FWの設定を変更したりしなければならないので，正確な時刻源と同期するタイムサーバを社内に設置した方がよい。この形態は，③可用性の面でも,インターネット上のタイムサーバを利用するより優れている。

設問1 本文中の［　a　］に入れる適切な字句を答えよ。
設問2 NTPで使用される標準時を解答群の中から選び,記号で答えよ。
　解答群
ア DST イ GMT ウ JST エ TAI オ UTC
設問3 NTPの動作について,(1)~(3)に答えよ。
(1)本文中の下線①に示す”ネットワーク的に近い”とは，どのような状態を意味するか。20字以内で具体的に述べよ。
(2)本文中の下線②に示す構成をとることで，どのような問題の発生を回避できるか。40字以内で述べよ。
(3)インターネット上のタイムサーバを利用する場合，本文中の下線③に示す可用性の面で，劣ってしまう点は何か。25字以内で述べよ。

この問題の採点講評を読むと，NTPの目的などが簡単に理解できるので引用する。

様々なアプリケーションでタイムスタンプが利用されているが，時刻がずれてしまうと,ファイルやデータベースを共有した場合に不具合が発生したり，システム管理で重要なログが活用できなくなったりする。そうしたことから，正確な時刻設定への要求が高まっている。
本問では，正確な時刻を維持するための仕組みであるNTP(Network Time Protocol)を題材として，ネットワークエンジニアに知っておいてほしい基本的な知識と，タイムサーバ導入を通じてネットワークを構築する能力について問う。

試験センターの解答例は以下である。
設問1  a GPS
設問2  オ
設問3
(1) ・経由するネットワーク機器が少ない状態
     ・伝送遅延時間が小さい状態
(2) 特定のサーバに負荷が集中し，確実に時刻を取得することが困難になってしまう問題
(3) タイムサーバヘの接続性が保証されない点

■GMTとUTC
GMT（Greenwich Mean Time）は、グリニッジ標準時ですので、経度0であるイギリスのグリニッジ天文台の時刻を指します。
UTC（Coordinated universal time）は協定世界時と言われ、GMTの世界標準版です。GMTとはコンマ何秒のズレしかなく、ほぼ同じ時刻を指します。同じものとして考えてもいいでしょう。

RADIUS

RADIUS（Remote Authentication Dial In User Service）とは
認証サーバに認証情報を問い合わせるときに利用するプロトコルです。
利用シーンとしては、ダイヤルアップの認証、無線LANの認証サーバ、SSL-VPN装置、などがあります。

構成例
登場人物は以下の3つである。

利用者

RADIUSクライアント

RADIUSサーバ

例として、以下のようになる

PC　----→　

SSLVPN装置　----→　

RADIUSサーバ

PC　----→　

AP　-----→　

RADIUSサーバ

SSL-VPN装置やAPはNAS（Network Access Server）と呼ばれる。
また、RADIUSサーバに対してRADIUSクライアントとして働く。
つまり、RADIUSサーバに対して、IDやパスワード情報を送信する。

そもそも、なぜRADIUSが必要なのか

たとえば、SSL-VPN装置において、RADIUSを使わなくても認証はできる。SSL-VPN装置にユーザ情報を登録すればいからです。

なぜRADIUSが必要なんですか?
目的は以下である。
①ユーザの一元管理のため。複数の認証をする場合、それぞれの装置でユーザを管理する必要がある。
②上記に関連するが、管理の容易性。一元管理なのでログの集約、利用状況の管理などが行いやすい。
③高度な機能を持つことが多い。たとえば、EAP-TLS対応など

過去問（H25SC春午前2問7）を解いてみよう

問7　無線LAN環境に複数台のPC,複数のアクセスポイント及び利用者認証情報を管理する1台のサーバがある。利用者認証とアクセス制御にIEEE 802.1XとRADIUSを利用する場合の実装方法はどれか。
ア　PCにはIEEE 802.1Xのサプリカントを実装し, RADIUSクライアントの機能をもたせる。
イ　アクセスポイントにはIEEE 802.1Xのオーセンティケータを実装し，RADIUSクライアントの機能をもたせる。
ウ　アクセスポイントにはIEEE 802.1Xのサプリカントを実装し,RADIUSサーバの機能をもたせる。
エ　サーバにはIEEE 802.1Xのオーセンティケータを実装し, RADIUSサーバの機能をもたせる。

正解はイである。

STUN

H28年秋NW午後Ⅱ問１では、STUN(Session Traversal Utilities for NAT) の仕組みについて問われました。
STUNはビデオチャットなどのWebRTC（Web Real-Time Communication）などで利用される技術です。
インターネットに出るときはグローバルIPアドレスを使いますが、通信をしようとするPCは、自分のグローバルIPアドレスが何かを知らないものです。でも、通信相手と通信をするためにはプライベートIPアドレスでは通信できません。そこで、自分のグローバルＩＰアドレスを知る仕組みが必要で、それがSTUNの仕組みです。具体的には、STUNサーバに、教えてもらいます。

以下は、過去問です。これをいきなり読むと、難しいですよね。
-----------
図4の例では，ブラウザ2上のAPがSTUNプロトコルを用いてSTUNサーバ1,2から〈g2〉を得て，それをブラウザ1上のAPに通知する。
　STUNプロトコルの概要は次のとおりである。
・STUNクライアントは, STUNサーバヘBindingリクエストを送る。
・ STUNサーバは，受け取ったIPパケットのヘッダから送信元のIPアドレスとポート番号を取り出し,Bindingレスポンス中のデータに格納して返す。

スポンサードリンク