LDAP contro Active Directory: Qual è la differenza?
Active Directory include anche funzioni di sicurezza, tra cui:
- Autenticazione. Gli utenti devono fornire le credenziali pertinenti prima di poter accedere alle risorse in rete.
- Gruppi di sicurezza. Gli amministratori IT organizzano gli utenti in gruppi. I gruppi sono poi assegnati alle applicazioni per minimizzare l’amministrazione.
- Criteri di gruppo. Ci sono un gran numero di criteri in Active Directory che definiscono chi può accedere ai computer in remoto o configurare le impostazioni di sicurezza del browser.
Active Directory supporta una varietà di modi per autenticare gli utenti. Nel corso della sua vita, Active Directory ha supportato LAN Manager, NTLM e Kerberos. Ogni volta, il protocollo di autenticazione si è evoluto per essere più usabile e sicuro.
Lo scopo principale di Active Directory era quello di riunire tutte le tecnologie Microsoft per consentire agli utenti di accedere facilmente alle risorse e permettere agli amministratori di definire in modo sicuro il loro accesso.
Che cos’è LDAP?
LDAP è un protocollo che è stato progettato per le applicazioni per interrogare le informazioni degli utenti molto rapidamente e su scala. Era ideale per qualcosa come l’industria delle telecomunicazioni o delle compagnie aeree.
Active Directory è stato progettato per le imprese con forse poche migliaia di dipendenti e computer. LDAP era un protocollo progettato per le applicazioni che alimentavano i carrier telefonici wireless che avevano bisogno di gestire milioni di richieste per autenticare gli abbonati alle reti telefoniche.
LDAP è un protocollo che non dipende dal prodotto. Active Directory è stato effettivamente implementato con il supporto LDAP per permettere alle applicazioni basate su LDAP di lavorare con un ambiente Active Directory esistente.
Come protocollo, LDAP si occupa principalmente di:
- Struttura della directory. Ogni voce nella directory ha attributi e può essere accessibile tramite un nome distinto unico (DN) che viene utilizzato quando si interroga la directory.
- Aggiunta, aggiornamento e lettura dei dati. LDAP è ottimizzato per la ricerca e la lettura veloce dei dati.
- Autenticazione. In LDAP, ci si “lega” al servizio. Questa autenticazione può essere un semplice nome utente e password, un certificato client o un token Kerberos.
- Ricerca. Un’area in cui LDAP eccelle è la ricerca. Di nuovo, i server basati su LDAP sono tipicamente progettati per le query di massa, e queste sono di solito ricerche di insiemi di dati.
Come si confronta LDAP & Active Directory?
LDAP è un protocollo, ma i fornitori hanno costruito directory in cui LDAP era il mezzo principale per comunicare con la directory. Erano spesso conosciuti come server LDAP.
I server erano usati principalmente come un negozio di informazioni sugli utenti per un’applicazione. Di conseguenza, sono talvolta paragonati ad Active Directory. Questo ha portato ad una certa confusione, con la gente che chiedeva cosa fosse meglio: un server LDAP o Active Directory?
Non c’è davvero una buona risposta a questa domanda, perché non è un confronto equo. La gente potrebbe davvero fare un altro tipo di domanda. Per esempio, Active Directory è una scelta migliore per una directory di applicazioni rispetto a Ping Identity Directory o Oracle Internet Directory?
In genere, i server LDAP sono appropriati per applicazioni su larga scala, come i milioni di interrogazioni degli abbonati in una piattaforma di telecomunicazioni wireless.
LDAP è anche buono in situazioni in cui si ha un gran numero di autenticazioni di utenti. Ad un certo punto, Twitter aveva un servizio LDAP molto grande che alimentava la sua autenticazione utente.
A causa del suo design, Active Directory non è ideale per implementazioni su larga scala con una singola comunità di utenti. Scala molto bene quando l’organizzazione è distribuita in più foreste e domini.
Ci sono implementazioni di Active Directory con centinaia di migliaia di utenti, ma sono tutte gestite in domini e foreste localizzate.
Dove Active Directory eccelle
Active Directory è eccellente nel suo lavoro principale, che è la gestione dell’accesso alla tecnologia basata su Microsoft, come client Windows, server e SharePoint/Exchange.
La politica di gruppo in Active Directory può essere molto efficace nel proteggere i computer Windows grazie alla stretta integrazione tra i computer Windows uniti a un dominio e Active Directory. I server LDAP non hanno equivalenti in questo caso.
Che è giusto per il tuo business?
A Okta, supportiamo entrambi gli ambienti Active Directory e LDAP. I vantaggi distinti di ciascuno funzionano meglio per alcune aziende.
Molti dei nostri clienti hanno sia Active Directory che server LDAP nella loro organizzazione. Siamo in grado di connetterci a entrambi e unificare le informazioni nella Okta Universal Directory.
Panoramica dei servizi di dominio Active Directory. (Maggio 2017). Microsoft.
Understanding Active Directory. (Marzo 2018). Medium.
What Is Kerberos Authentication? (Ottobre 2009). Microsoft.
Configurazione di Active Directory per l’autenticazione LDAP. IBM.
Panoramica dei servizi di dominio di Active Directory. (Maggio 2017). Microsoft.
Understanding Active Directory. (Marzo 2018). Medium.
Gli hacker nordcoreani possono essere di nuovo a tamponare in Ransomware. (Luglio 2020). PC Magazine.
Report Finds Serious Flaws in COVID-19 Vaccine Developers’ Systems. (Luglio 2020). xTelligent Healthcare Media.
LDAP e Active Directory. Active Directory 360.
.