LDAP vs. Active Directory: What’s the Difference?
Active Directory sisältää myös tietoturvaominaisuuksia, kuten:
- Authentication. Käyttäjien on annettava asianmukaiset tunnistetiedot, ennen kuin he voivat käyttää verkon resursseja.
- Suojaryhmät. IT-ylläpitäjät järjestävät käyttäjät ryhmiin. Ryhmille osoitetaan sitten sovelluksia hallinnoinnin minimoimiseksi.
- Ryhmäkäytäntö. Active Directoryssa on suuri määrä käytäntöjä, jotka määrittelevät, kuka voi käyttää tietokoneita etänä tai määrittää selaimen tietoturva-asetukset.
Active Directory tukee useita eri tapoja todentaa käyttäjät. Elämänsä aikana Active Directory on tukenut LAN Manageria, NTLM:ää ja Kerberosia. Joka kerta todennusprotokolla kehittyi käyttökelpoisemmaksi ja turvallisemmaksi.
Active Directoryn päätarkoitus oli koota yhteen kaikki Microsoftin teknologiat, jotta käyttäjät voisivat helposti käyttää resursseja ja jotta ylläpitäjät voisivat turvallisesti määritellä käyttöoikeudet.
Mikä on LDAP?
LDAP on protokolla, joka suunniteltiin sovelluksia varten, joiden avulla voidaan kysyä käyttäjätietoja hyvin nopeasti ja laajamittaisesti. Se oli ihanteellinen esimerkiksi tietoliikenne- tai lentokoneteollisuudelle.
Active Directory suunniteltiin yrityksille, joissa oli ehkä muutama tuhat työntekijää ja tietokonetta. LDAP oli protokolla, joka suunniteltiin langattomien puhelinoperaattoreiden käyttämiä sovelluksia varten, joiden piti käsitellä miljoonia pyyntöjä puhelinverkkojen tilaajien todentamiseksi.
LDAP on tuote-agnostinen protokolla. Active Directory itse asiassa toteutettiin LDAP-tuella, jotta LDAP-pohjaiset sovellukset voivat toimia olemassa olevassa Active Directory -ympäristössä.
Protokollana LDAP:n päätehtävänä on:
- Hakemiston rakenne. Jokaisella hakemiston merkinnällä on attribuutteja ja sitä voidaan käyttää yksilöllisen erisnimen (DN) avulla, jota käytetään hakemistoa kysyttäessä.
- Tietojen lisääminen, päivittäminen ja lukeminen. LDAP on optimoitu tietojen nopeaan hakuun ja lukemiseen.
- Todentaminen. LDAP:ssa palveluun ”sitoudutaan”. Tämä todennus voi olla pelkkä käyttäjätunnus ja salasana, asiakasvarmenne tai Kerberos-token.
- Haku. Yksi alue, jossa LDAP on erinomainen, on haku. Jälleen kerran LDAP-pohjaiset palvelimet on tyypillisesti suunniteltu massakyselyjä varten, ja ne ovat yleensä tietokokonaisuuksien hakuja.
Miten LDAP & Active Directory vertaa?
LDAP on protokolla, mutta toimittajat rakensivat hakemistoja, joissa LDAP oli ensisijainen keino kommunikoida hakemiston kanssa. Niitä kutsuttiin usein LDAP-palvelimiksi.
Palvelimia käytettiin pääasiassa sovelluksen käyttäjien tietovarastona. Tämän vuoksi niitä verrataan joskus Active Directoryyn. Tämä johti hämmennykseen, kun ihmiset kysyivät, kumpi on parempi: LDAP-palvelin vai Active Directory?
Kysymykseen ei ole oikeastaan hyvää vastausta, koska vertailu ei ole reilu. Ihmiset saattavat oikeasti kysyä toisenlaista kysymystä. Onko esimerkiksi Active Directory parempi valinta sovellushakemistoksi kuin Ping Identity Directory tai Oracle Internet Directory?
Tyypillisesti LDAP-palvelimet sopivat hyvin laajamittaisiin sovelluksiin, kuten langattomassa tietoliikennealustassa tehtäviin miljooniin tilaajakyselyihin.
LDAP on hyvä myös tilanteissa, joissa tapahtuu suuri määrä käyttäjien todennuksia. Jossain vaiheessa Twitterillä oli erittäin suuri LDAP-palvelu, joka pyöritti sen käyttäjien todennusta.
Suunnittelunsa vuoksi Active Directory ei ole ihanteellinen hyvin laajamittaisiin toteutuksiin, joissa on vain yksi käyttäjäkunta. Se skaalautuu erittäin hyvin, kun organisaatio on hajautettu useisiin metsiin ja toimialueisiin.
On olemassa Active Directory -toteutuksia, joissa on satojatuhansia käyttäjiä, mutta niitä kaikkia hallitaan paikallisissa toimialueissa ja metsissä.
Missä Active Directory loistaa
Active Directory on erinomainen ydintehtävässään, joka on tiloissa olevan Microsoft-pohjaisen tekniikan, kuten Windows-asiakkaiden, palvelimien ja SharePoint/Exchange-järjestelmän, käyttöoikeuksien hallinta.
Active Directoryn ryhmäkäytännöt voivat olla erittäin tehokkaita Windows-tietokoneiden suojaamisessa toimialueeseen liitettyjen Windows-tietokoneiden ja Active Directoryn tiiviin integraation vuoksi. LDAP-palvelimilla ei ole vastaavaa tässä yhteydessä.
Kumpi sopii yrityksellesi?
Octassa tuemme sekä Active Directory- että LDAP-ympäristöjä. Kummankin erilaiset edut toimivat paremmin tietyille yrityksille.
Monilla asiakkaillamme on organisaatiossaan sekä Active Directory- että LDAP-palvelimia. Pystymme luomaan yhteyden molempiin ja yhdistämään tiedot Okta Universal Directoryyn.
Active Directory Domain Services Overview. (Toukokuu 2017). Microsoft.
Understanding Active Directory. (Maaliskuu 2018). Medium.
What Is Kerberos Authentication? (Lokakuu 2009). Microsoft.
Configuring Active Directory for LDAP Authentication. IBM.
Active Directory Domain Services Overview. (Toukokuu 2017). Microsoft.
Understanding Active Directory. (Maaliskuu 2018). Medium.
North Korean Hackers May Be Dabbing in Ransomware Again. (Heinäkuu 2020). PC Magazine.
Raportti löytää vakavia puutteita COVID-19-rokotteen kehittäjien järjestelmistä. (Heinäkuu 2020). xTelligent Healthcare Media.
LDAP ja Active Directory. Active Directory 360.