LDAP vs. Active Directory : Quelle est la différence?
Active Directory comprend également des fonctions de sécurité, notamment :
- Authentification. Les utilisateurs doivent fournir les informations d’identification pertinentes avant de pouvoir accéder aux ressources du réseau.
- Groupes de sécurité. Les administrateurs informatiques organisent les utilisateurs en groupes. Les groupes sont ensuite affectés à des apps pour minimiser l’administration.
- Politique de groupe. Il existe un grand nombre de politiques dans Active Directory qui définissent qui peut accéder aux ordinateurs à distance ou configurer les paramètres de sécurité du navigateur.
Active Directory prend en charge une variété de façons d’authentifier les utilisateurs. Au cours de sa durée de vie, Active Directory a pris en charge LAN Manager, NTLM et Kerberos. A chaque fois, le protocole d’authentification a évolué pour être plus utilisable et plus sécurisé.
L’objectif principal d’Active Directory était de rassembler toutes les technologies Microsoft pour permettre aux utilisateurs d’accéder facilement aux ressources et aux administrateurs de définir leur accès de manière sécurisée.
Qu’est-ce que LDAP ?
LDAP est un protocole qui a été conçu pour que les applications puissent interroger les informations des utilisateurs très rapidement et à l’échelle. Il était idéal pour quelque chose comme l’industrie des télécommunications ou des compagnies aériennes.
Active Directory a été conçu pour les entreprises avec peut-être quelques milliers d’employés et d’ordinateurs. LDAP était un protocole conçu pour les applications alimentant les transporteurs téléphoniques sans fil qui avaient besoin de traiter des millions de demandes pour authentifier les abonnés aux réseaux téléphoniques.
LDAP est un protocole agnostique de produit. Active Directory effectivement mis en œuvre avec le support LDAP pour permettre aux applications basées sur LDAP de fonctionner contre un environnement Active Directory existant.
En tant que protocole, LDAP est principalement concerné par:
- Structure du répertoire. Chaque entrée de l’annuaire possède des attributs et est accessible via un nom distinctif (DN) unique qui est utilisé lors de l’interrogation de l’annuaire.
- Ajout, mise à jour et lecture de données. LDAP est optimisé pour une recherche et une lecture rapides des données.
- Authentification. Dans LDAP, on se « lie » au service. Cette authentification peut être un simple nom d’utilisateur et un mot de passe, un certificat client ou un jeton Kerberos.
- Recherche. Un domaine dans lequel LDAP excelle est la recherche. Encore une fois, les serveurs basés sur LDAP sont généralement conçus pour les requêtes de masse, et ce sont généralement des recherches pour des ensembles de données.
Comment LDAP & Active Directory se comparent-ils ?
LDAP est un protocole, mais les fournisseurs ont construit des annuaires où LDAP était le principal moyen de communiquer avec l’annuaire. Ils étaient souvent connus sous le nom de serveurs LDAP.
Les serveurs étaient principalement utilisés comme un magasin d’informations sur les utilisateurs pour une application. Par conséquent, ils sont parfois comparés à Active Directory. Cela a entraîné une certaine confusion, les gens demandant ce qui est mieux : un serveur LDAP ou Active Directory ?
Il n’y a pas vraiment de bonne réponse à cette question, car ce n’est pas une comparaison équitable. Les gens pourraient vraiment poser un autre type de question. Par exemple, Active Directory est-il un meilleur choix pour un annuaire d’applications que l’utilisation de Ping Identity Directory ou Oracle Internet Directory ?
Typiquement, les serveurs LDAP sont appropriés pour les applications à très grande échelle, comme les millions de requêtes d’abonnés effectuées dans une plateforme de télécommunications sans fil.
LDAP est également bon dans les situations où vous avez un grand nombre d’authentifications d’utilisateurs qui ont lieu. À un moment donné, Twitter avait un très grand service LDAP alimentant son authentification utilisateur.
En raison de sa conception, Active Directory n’est pas idéal pour les implémentations à très grande échelle avec une seule communauté d’utilisateurs. Il évolue très bien lorsque l’organisation est distribuée en plusieurs forêts et domaines.
Il existe des implémentations d’Active Directory avec des centaines de milliers d’utilisateurs, mais ils sont tous gérés dans des domaines et des forêts localisés.
Les domaines dans lesquels Active Directory excelle
Active Directory est excellent dans son travail de base, qui consiste à gérer l’accès à la technologie sur site basée sur Microsoft, comme les clients Windows, les serveurs et SharePoint/Exchange.
La stratégie de groupe dans Active Directory peut être très efficace pour sécuriser les ordinateurs Windows en raison de l’intégration étroite entre les ordinateurs Windows joints à un domaine et Active Directory. Les serveurs LDAP n’ont pas d’équivalent ici.
Qu’est-ce qui convient à votre entreprise ?
A Okta, nous prenons en charge les environnements Active Directory et LDAP. Les avantages distincts de chacun fonctionnent mieux pour certaines entreprises.
Plusieurs de nos clients ont à la fois des serveurs Active Directory et LDAP dans leur organisation. Nous sommes en mesure de nous connecter aux deux et d’unifier les informations dans l’annuaire universel Okta.
Vue d’ensemble des services de domaine Active Directory. (mai 2017). Microsoft.
Comprendre Active Directory. (mars 2018). Moyen.
Qu’est-ce que l’authentification Kerberos ? (Octobre 2009). Microsoft.
Configuration d’Active Directory pour l’authentification LDAP. IBM.
Présentation des services de domaine Active Directory. (mai 2017). Microsoft.
Compréhension d’Active Directory. (mars 2018). Medium.
Les pirates nord-coréens pourraient être en train de barboter dans les ransomwares à nouveau. (juillet 2020). PC Magazine.
Un rapport révèle de graves failles dans les systèmes des développeurs du vaccin COVID-19. (juillet 2020). xTelligent Healthcare Media.
LDAP et Active Directory. Active Directory 360.