LDAP vs. Active Directory: Hvad er forskellen?
Active Directory indeholder også sikkerhedsfunktioner, herunder:
- Autentificering. Brugere skal angive de relevante legitimationsoplysninger, før de kan få adgang til ressourcer på netværket.
- Sikkerhedsgrupper. It-administratorer organiserer brugere i grupper. Grupperne tildeles derefter til apps for at minimere administrationen.
- Gruppepolitik. Der findes et stort antal politikker i Active Directory, der definerer, hvem der kan få fjernadgang til computere, eller som konfigurerer browserens sikkerhedsindstillinger.
Active Directory understøtter en række forskellige måder at godkende brugere på. I løbet af sin levetid har Active Directory understøttet LAN Manager, NTLM og Kerberos. Hver gang blev godkendelsesprotokollen udviklet, så den blev mere anvendelig og sikker.
Active Directory’s hovedformål var at samle alle Microsoft-teknologier, så brugerne nemt kunne få adgang til ressourcer, og så administratorer kunne definere deres adgang på en sikker måde.
Hvad er LDAP?
LDAP er en protokol, der blev udviklet til programmer, så de meget hurtigt og i stor skala kan forespørge på brugeroplysninger. Den var ideel til noget som telekommunikations- eller luftfartsindustrien.
Active Directory blev designet til virksomheder med måske et par tusinde medarbejdere og computere. LDAP var en protokol, der var designet til applikationer, der drev de trådløse telefonselskaber, som skulle håndtere millioner af forespørgsler for at autentificere abonnenter til telefonnettet.
LDAP er en produktagnostisk protokol. Active Directory blev faktisk implementeret med LDAP-understøttelse for at gøre det muligt for LDAP-baserede applikationer at fungere mod et eksisterende Active Directory-miljø.
Som protokol beskæftiger LDAP sig først og fremmest med:
- Katalogstruktur. Hver post i kataloget har attributter og kan tilgås via et unikt distinguished name (DN), som bruges ved forespørgsel i kataloget.
- Tilføjelse, opdatering og læsning af data. LDAP er optimeret til hurtig søgning og læsning af data.
- Autentificering. I LDAP “binder” du dig til tjenesten. Denne autentificering kan være et simpelt brugernavn og adgangskode, et klientcertifikat eller et Kerberos-token.
- Søgning. Et område, hvor LDAP udmærker sig, er søgning. Igen er LDAP-baserede servere typisk designet til masseforespørgsler, og disse er normalt søgninger efter datasæt.
Hvordan kan LDAP & Active Directory sammenlignes?
LDAP er en protokol, men leverandørerne byggede mapper, hvor LDAP var den primære måde at kommunikere med mappen på. De blev ofte kendt som LDAP-servere.
Serverne blev primært brugt som et informationslager om brugere til et program. Som følge heraf sammenlignes de nogle gange med Active Directory. Dette førte til en vis forvirring, idet folk spurgte, hvad der er bedst: en LDAP-server eller Active Directory?
Der findes ikke rigtig et godt svar på dette spørgsmål, da det ikke er en retfærdig sammenligning. Folk stiller måske i virkeligheden en anden slags spørgsmål. Er Active Directory f.eks. et bedre valg til en applikationskatalog end at bruge Ping Identity Directory eller Oracle Internet Directory?
Typisk set er LDAP-servere velegnede til meget store applikationer, f.eks. de millioner af abonnentforespørgsler, der foretages i en trådløs telekommunikationsplatform.
LDAP er også godt i situationer, hvor der finder et stort antal brugergodkendelser sted. På et tidspunkt havde Twitter en meget stor LDAP-tjeneste til at drive sin brugergodkendelse.
På grund af sit design er Active Directory ikke ideelt til meget store implementeringer med et enkelt fællesskab af brugere. Det skalerer meget godt, når organisationen er fordelt på flere skove og domæner.
Der findes Active Directory-implementationer med hundredtusindvis af brugere, men de administreres alle i lokaliserede domæner og skove.
Hvor Active Directory udmærker sig
Active Directory er fremragende til sin kerneopgave, som er at styre adgangen til Microsoft-baseret teknologi på stedet, f.eks. Windows-klienter, servere og SharePoint/Exchange.
Gruppepolitik i Active Directory kan være meget effektiv til at sikre Windows-computere på grund af den tætte integration mellem domænetilsluttede Windows-computere og Active Directory. LDAP-servere har ikke noget tilsvarende her.
Hvilken er den rigtige for din virksomhed?
Hos Okta understøtter vi både Active Directory- og LDAP-miljøer. De forskellige fordele ved hver af dem fungerer bedre for visse virksomheder.
Mange af vores kunder har både Active Directory- og LDAP-servere i deres organisation. Vi er i stand til at oprette forbindelse til begge og forene oplysningerne i Okta Universal Directory.
Oversigt over Active Directory Domain Services. (maj 2017). Microsoft.
Understanding Active Directory. (marts 2018). Medium.
Hvad er Kerberos-godkendelse? (oktober 2009). Microsoft.
Konfigurering af Active Directory til LDAP-godkendelse. IBM.
Active Directory Domain Services Overview (Oversigt over Active Directory-domænetjenester). (maj 2017). Microsoft.
Understanding Active Directory. (marts 2018). Medium.
Nordkoreanske hackere kan igen være i gang med at dope sig med ransomware. (juli 2020). PC Magazine.
Rapport finder alvorlige fejl i COVID-19 Vaccine Developers’ Systems. (juli 2020). xTelligent Healthcare Media.
LDAP og Active Directory. Active Directory 360.