LDAP vs. Active Directory: What’s the Difference?
Active Directory zawiera również funkcje bezpieczeństwa, w tym:
- Uwierzytelnianie. Użytkownicy muszą podać odpowiednie poświadczenia, zanim uzyskają dostęp do zasobów w sieci.
- Grupy zabezpieczeń. Administratorzy IT organizują użytkowników w grupy. Grupy są następnie przypisywane do aplikacji, aby zminimalizować administrację.
- Polityki grupowe. W Active Directory istnieje duża liczba polityk, które definiują, kto może uzyskać zdalny dostęp do komputerów lub konfigurują ustawienia zabezpieczeń przeglądarki.
Active Directory obsługuje wiele sposobów uwierzytelniania użytkowników. Przez cały okres swojego istnienia Active Directory obsługiwało LAN Manager, NTLM i Kerberos. Za każdym razem protokół uwierzytelniania ewoluował, aby być bardziej użytecznym i bezpiecznym.
Głównym celem Active Directory było połączenie wszystkich technologii Microsoftu, aby umożliwić użytkownikom łatwy dostęp do zasobów i pozwolić administratorom na bezpieczne definiowanie ich dostępu.
What Is LDAP?
LDAP jest protokołem, który został zaprojektowany dla aplikacji do odpytywania informacji o użytkownikach bardzo szybko i na dużą skalę. Był idealny dla czegoś takiego jak telekomunikacja lub przemysł lotniczy.
Active Directory został zaprojektowany dla przedsiębiorstw z kilkoma tysiącami pracowników i komputerów. LDAP był protokołem zaprojektowanym dla aplikacji zasilających telefonicznych operatorów bezprzewodowych, którzy potrzebowali obsługiwać miliony żądań uwierzytelniania abonentów sieci telefonicznych.
LDAP jest protokołem agnostycznym dla produktów. Active Directory faktycznie zaimplementowane z obsługą LDAP, aby umożliwić aplikacje oparte na LDAP do pracy z istniejącym środowisku Active Directory.
Jako protokół, LDAP jest przede wszystkim dotyczy:
- Struktura katalogu. Każdy wpis w katalogu ma atrybuty i może być dostępny poprzez unikalną nazwę wyróżnioną (DN), która jest używana podczas odpytywania katalogu.
- Dodawanie, aktualizowanie i odczytywanie danych. LDAP jest zoptymalizowany pod kątem szybkiego wyszukiwania i odczytywania danych.
- Uwierzytelnianie. W LDAP, użytkownik „wiąże się” z usługą. To uwierzytelnienie może być prostą nazwą użytkownika i hasłem, certyfikatem klienta lub tokenem Kerberos.
- Wyszukiwanie. Jednym z obszarów, w którym LDAP przoduje, jest wyszukiwanie. Ponownie, serwery oparte na LDAP są zwykle zaprojektowane do masowych zapytań, a te są zwykle wyszukiwaniem zestawów danych.
How Do LDAP & Active Directory Compare?
LDAP jest protokołem, ale producenci zbudowali katalogi, w których LDAP był podstawowym środkiem komunikacji z katalogiem. Były one często znane jako serwery LDAP.
Serwery te były głównie używane jako magazyn informacji o użytkownikach dla aplikacji. W związku z tym są one czasami porównywane z Active Directory. Doprowadziło to do pewnego zamieszania, w którym ludzie pytali, co jest lepsze: serwer LDAP czy Active Directory?
Nie ma tak naprawdę dobrej odpowiedzi na to pytanie, ponieważ nie jest to uczciwe porównanie. Ludzie mogą tak naprawdę zadawać inny rodzaj pytania. Na przykład, czy Active Directory jest lepszym wyborem dla katalogu aplikacji niż użycie Ping Identity Directory lub Oracle Internet Directory?
Typowo, serwery LDAP są odpowiednie dla aplikacji o bardzo dużej skali, takich jak miliony zapytań abonenckich wykonywanych w bezprzewodowej platformie telekomunikacyjnej.
LDAP jest również dobry w sytuacjach, w których ma miejsce duża liczba uwierzytelnień użytkowników. W pewnym momencie Twitter miał bardzo dużą usługę LDAP zasilającą jego uwierzytelnianie użytkowników.
Dzięki swojej konstrukcji, Active Directory nie jest idealny do wdrożeń na bardzo dużą skalę z pojedynczą społecznością użytkowników. Skaluje się bardzo dobrze, gdy organizacja jest rozproszona w wielu lasach i domenach.
Istnieją wdrożenia Active Directory z setkami tysięcy użytkowników, ale wszystkie są zarządzane w zlokalizowanych domenach i lasach.
Where Active Directory Excels
Active Directory jest doskonałe w swoim podstawowym zadaniu, którym jest zarządzanie dostępem do lokalnych technologii opartych na Microsoft, takich jak klienci Windows, serwery i SharePoint/Exchange.
Polityka grup w Active Directory może być bardzo skuteczna w zabezpieczaniu komputerów Windows dzięki ścisłej integracji między komputerami Windows połączonymi w domenę a Active Directory. Serwery LDAP nie mają tu odpowiednika.
Which Is Right for Your Business?
W Okta wspieramy zarówno Active Directory, jak i środowiska LDAP. Odrębne korzyści płynące z każdego z nich są lepsze dla niektórych firm.
Wielu naszych klientów posiada w swojej organizacji zarówno serwery Active Directory, jak i LDAP. Jesteśmy w stanie połączyć się z obydwoma i zunifikować informacje w Okta Universal Directory.
Active Directory Domain Services Overview. (maj 2017). Microsoft.
Understanding Active Directory. (marzec 2018). Medium.
What Is Kerberos Authentication? (październik 2009). Microsoft.
Configuring Active Directory for LDAP Authentication. IBM.
Active Directory Domain Services Overview. (maj 2017). Microsoft.
Understanding Active Directory. (marzec 2018). Medium.
North Korean Hackers May Be Dabbing in Ransomware Again. (lipiec 2020). PC Magazine.
Report Finds Serious Flaws in COVID-19 Vaccine Developers’ Systems. (lipiec 2020). xTelligent Healthcare Media.
LDAP i Active Directory. Active Directory 360.