LDAP vs. Active Directory: Was ist der Unterschied?
Active Directory umfasst auch Sicherheitsfunktionen, darunter:
- Authentifizierung. Benutzer müssen die entsprechenden Anmeldedaten angeben, bevor sie auf Ressourcen im Netzwerk zugreifen können.
- Sicherheitsgruppen. IT-Administratoren organisieren Benutzer in Gruppen. Die Gruppen werden dann Anwendungen zugewiesen, um den Verwaltungsaufwand zu minimieren.
- Gruppenrichtlinie. In Active Directory gibt es eine Vielzahl von Richtlinien, die festlegen, wer aus der Ferne auf Computer zugreifen darf, oder die Browser-Sicherheitseinstellungen konfigurieren.
Active Directory unterstützt eine Vielzahl von Möglichkeiten zur Authentifizierung von Benutzern. Im Laufe seines Bestehens hat Active Directory LAN Manager, NTLM und Kerberos unterstützt. Jedes Mal wurde das Authentifizierungsprotokoll weiterentwickelt, um es benutzerfreundlicher und sicherer zu machen.
Der Hauptzweck von Active Directory bestand darin, alle Microsoft-Technologien zusammenzuführen, um Benutzern einen einfachen Zugriff auf Ressourcen zu ermöglichen und Administratoren die Möglichkeit zu geben, ihren Zugriff sicher zu definieren.
Was ist LDAP?
LDAP ist ein Protokoll, das für Anwendungen entwickelt wurde, um Benutzerinformationen sehr schnell und in großem Umfang abzufragen. Es war ideal für die Telekommunikations- oder Luftfahrtindustrie.
Active Directory wurde für Unternehmen mit vielleicht ein paar tausend Mitarbeitern und Computern entwickelt. LDAP war ein Protokoll, das für Anwendungen entwickelt wurde, die von Mobilfunkanbietern betrieben wurden, die Millionen von Anfragen zur Authentifizierung von Abonnenten in den Telefonnetzen verarbeiten mussten.
LDAP ist ein produktunabhängiges Protokoll. Active Directory wurde mit LDAP-Unterstützung implementiert, damit LDAP-basierte Anwendungen mit einer bestehenden Active Directory-Umgebung zusammenarbeiten können.
Als Protokoll befasst sich LDAP hauptsächlich mit:
- Verzeichnisstruktur. Jeder Eintrag im Verzeichnis hat Attribute und kann über einen eindeutigen Distinguished Name (DN) angesprochen werden, der bei der Abfrage des Verzeichnisses verwendet wird.
- Hinzufügen, Aktualisieren und Lesen von Daten. LDAP ist für schnelles Suchen und Lesen von Daten optimiert.
- Authentifizierung. In LDAP „binden“ Sie sich an den Dienst. Diese Authentifizierung kann durch einen einfachen Benutzernamen und ein Passwort, ein Client-Zertifikat oder ein Kerberos-Token erfolgen.
- Suche. Ein Bereich, in dem sich LDAP auszeichnet, ist die Suche. Auch hier sind LDAP-basierte Server in der Regel für Massenabfragen konzipiert, und dabei handelt es sich in der Regel um die Suche nach Datensätzen.
Wie lässt sich LDAP & mit Active Directory vergleichen?
LDAP ist ein Protokoll, aber die Hersteller haben Verzeichnisse entwickelt, bei denen LDAP das primäre Mittel zur Kommunikation mit dem Verzeichnis war. Sie wurden oft als LDAP-Server bezeichnet.
Die Server wurden hauptsächlich als Informationsspeicher über Benutzer für eine Anwendung verwendet. Aus diesem Grund werden sie manchmal mit Active Directory verglichen. Dies hat zu einiger Verwirrung geführt, da die Leute fragen, was besser ist: ein LDAP-Server oder Active Directory?
Es gibt keine wirklich gute Antwort auf diese Frage, da es sich nicht um einen fairen Vergleich handelt. Die Leute könnten eigentlich eine andere Art von Frage stellen. Ist Active Directory beispielsweise eine bessere Wahl für ein Anwendungsverzeichnis als Ping Identity Directory oder Oracle Internet Directory?
Typischerweise sind LDAP-Server für sehr umfangreiche Anwendungen geeignet, wie z. B. für Millionen von Teilnehmerabfragen in einer drahtlosen Telekommunikationsplattform.
LDAP eignet sich auch für Situationen, in denen eine große Anzahl von Benutzerauthentifizierungen stattfindet. Twitter hatte einmal einen sehr großen LDAP-Dienst für die Benutzerauthentifizierung.
Aufgrund seines Designs ist Active Directory nicht ideal für sehr große Implementierungen mit einer einzigen Benutzergemeinschaft. Es lässt sich sehr gut skalieren, wenn die Organisation auf mehrere Forests und Domains verteilt ist.
Es gibt Active Directory-Implementierungen mit Hunderttausenden von Benutzern, die jedoch alle in lokalisierten Domains und Forests verwaltet werden.
Where Active Directory Excels
Active Directory ist hervorragend in seiner Kernaufgabe, der Verwaltung des Zugriffs auf Microsoft-basierte Technologie vor Ort, wie Windows-Clients, -Server und SharePoint/Exchange.
Gruppenrichtlinien in Active Directory können aufgrund der engen Integration zwischen domänenverbundenen Windows-Computern und Active Directory sehr effektiv bei der Sicherung von Windows-Computern sein. LDAP-Server haben hier keine Entsprechung.
Welches ist das Richtige für Ihr Unternehmen?
Wir bei Okta unterstützen sowohl Active Directory- als auch LDAP-Umgebungen. Die unterschiedlichen Vorteile beider Umgebungen sind für bestimmte Unternehmen besser geeignet.
Viele unserer Kunden haben sowohl Active Directory- als auch LDAP-Server in ihrem Unternehmen. Wir sind in der Lage, uns mit beiden zu verbinden und die Informationen im Okta Universal Directory zu vereinheitlichen.
Active Directory Domain Services Overview. (Mai 2017). Microsoft.
Understanding Active Directory. (März 2018). Medium.
Was ist Kerberos-Authentifizierung? (Oktober 2009). Microsoft.
Konfiguration von Active Directory für die LDAP-Authentifizierung. IBM.
Active Directory Domain Services Overview. (Mai 2017). Microsoft.
Understanding Active Directory. (März 2018). Medium.
North Korean Hackers May Be Dabbing in Ransomware Again. (Juli 2020). PC Magazine.
Report Finds Serious Flaws in COVID-19 Vaccine Developers‘ Systems. (Juli 2020). xTelligent Healthcare Media.
LDAP und Active Directory. Active Directory 360.