LDAP vs. Active Directory: ¿Cuál es la diferencia?
El Directorio Activo también incluye características de seguridad, como:
- Autenticación. Los usuarios deben proporcionar las credenciales pertinentes antes de poder acceder a los recursos de la red.
- Grupos de seguridad. Los administradores de TI organizan a los usuarios en grupos. Los grupos se asignan entonces a las aplicaciones para minimizar la administración.
- Política de grupo. Hay un gran número de políticas en Active Directory que definen quién puede acceder a los equipos de forma remota o configuran los ajustes de seguridad del navegador.
Active Directory admite una variedad de formas de autenticar a los usuarios. A lo largo de su vida, Active Directory ha soportado LAN Manager, NTLM y Kerberos. Cada vez, el protocolo de autenticación evolucionó para ser más utilizable y seguro.
El objetivo principal de Active Directory era reunir todas las tecnologías de Microsoft para permitir a los usuarios acceder fácilmente a los recursos y permitir a los administradores definir su acceso de forma segura.
¿Qué es LDAP?
LDAP es un protocolo que se diseñó para que las aplicaciones pudieran consultar la información de los usuarios muy rápidamente y a escala. Era ideal para algo como la industria de las telecomunicaciones o de las aerolíneas.
El Directorio Activo fue diseñado para empresas con quizás unos pocos miles de empleados y ordenadores. LDAP fue un protocolo diseñado para las aplicaciones de las compañías telefónicas inalámbricas que necesitaban manejar millones de solicitudes para autenticar a los suscriptores de las redes telefónicas.
LDAP es un protocolo independiente del producto. Active Directory en realidad se implementó con soporte LDAP para permitir que las aplicaciones basadas en LDAP funcionen con un entorno existente de Active Directory.
Como protocolo, LDAP se ocupa principalmente de:
- Estructura del directorio. Cada entrada del directorio tiene atributos y se puede acceder a ella a través de un nombre distinguido (DN) único que se utiliza al consultar el directorio.
- Añadir, actualizar y leer datos. LDAP está optimizado para la búsqueda y lectura rápida de datos.
- Autenticación. En LDAP, se «enlaza» con el servicio. Esta autenticación puede ser un simple nombre de usuario y contraseña, un certificado de cliente o un token Kerberos.
- Búsqueda. Un área en la que LDAP destaca es la búsqueda. De nuevo, los servidores basados en LDAP suelen estar diseñados para consultas masivas, y éstas suelen ser búsquedas de conjuntos de datos.
¿Cómo se compara LDAP con & Active Directory?
LDAP es un protocolo, pero los proveedores construyeron directorios en los que LDAP era el principal medio de comunicación con el directorio. A menudo se conocen como servidores LDAP.
Los servidores se utilizaban principalmente como almacén de información sobre los usuarios para una aplicación. Como resultado, a veces se comparan con Active Directory. Esto llevó a una cierta confusión, con la gente preguntando qué es mejor: un servidor LDAP o Active Directory?
No hay realmente una buena respuesta a esta pregunta, ya que no es una comparación justa. La gente realmente podría estar haciendo un tipo de pregunta diferente. Por ejemplo, ¿es Active Directory una mejor opción para un directorio de aplicaciones que utilizar Ping Identity Directory u Oracle Internet Directory?
Típicamente, los servidores LDAP son apropiados para aplicaciones a muy gran escala, como los millones de consultas de suscriptores que se realizan en una plataforma de telecomunicaciones inalámbricas.
LDAP también es bueno en situaciones en las que se produce un gran número de autenticaciones de usuarios. En un momento dado, Twitter tenía un servicio LDAP muy grande que alimentaba su autenticación de usuarios.
Debido a su diseño, Active Directory no es ideal para implementaciones a gran escala con una sola comunidad de usuarios. Sí escala muy bien cuando la organización está distribuida en múltiples bosques y dominios.
Hay implementaciones de Active Directory con cientos de miles de usuarios, pero todos se gestionan en dominios y bosques localizados.
Donde sobresale Active Directory
Active Directory es excelente en su trabajo principal, que es la gestión del acceso a la tecnología basada en Microsoft en las instalaciones, como los clientes de Windows, los servidores y SharePoint/Exchange.
La política de grupo en Active Directory puede ser muy eficaz para asegurar los equipos de Windows debido a la estrecha integración entre los equipos de Windows unidos a un dominio y Active Directory. Los servidores LDAP no tienen un equivalente aquí.
¿Cuál es el adecuado para su empresa?
En Okta, admitimos tanto entornos de Active Directory como de LDAP. Los distintos beneficios de cada uno funcionan mejor para ciertos negocios.
Muchos de nuestros clientes tienen tanto servidores de Active Directory como de LDAP en su organización. Podemos conectarnos a ambos y unificar la información en el Directorio Universal de Okta.
Descripción general de los servicios de dominio de Active Directory. (Mayo 2017). Microsoft.
Comprensión de Active Directory. (Marzo de 2018). Medium.
¿Qué es la autenticación Kerberos? (Octubre de 2009). Microsoft.
Configuración de Active Directory para la autenticación LDAP. IBM.
Descripción general de los servicios de dominio de Active Directory. (Mayo de 2017). Microsoft.
Comprensión de Active Directory. (Marzo de 2018). Medium.
Los hackers norcoreanos podrían estar metiéndose de nuevo en el ransomware. (Julio de 2020). PC Magazine.
Un informe encuentra graves fallos en los sistemas de los desarrolladores de la vacuna COVID-19. (Julio 2020). xTelligent Healthcare Media.
LDAP y Active Directory. Active Directory 360.