LDAP vs. Active Directory: Mi a különbség?
Az Active Directory biztonsági funkciókat is tartalmaz, többek között:
- Hitelesítés. A felhasználóknak meg kell adniuk a megfelelő hitelesítő adatokat, mielőtt hozzáférhetnek a hálózat erőforrásaihoz.
- Biztonsági csoportok. Az informatikai rendszergazdák csoportokba szervezik a felhasználókat. A csoportokat ezután alkalmazásokhoz rendelik az adminisztráció minimalizálása érdekében.
- Csoportházirend. Az Active Directoryban számos olyan házirend létezik, amely meghatározza, hogy ki férhet hozzá távolról a számítógépekhez, vagy konfigurálja a böngésző biztonsági beállításait.
Active Directory többféle módon támogatja a felhasználók hitelesítését. Élete során az Active Directory támogatta a LAN Manager, az NTLM és a Kerberos rendszereket. A hitelesítési protokoll minden alkalommal úgy fejlődött, hogy használhatóbb és biztonságosabb legyen.
Active Directory fő célja az volt, hogy egyesítse a Microsoft összes technológiáját, hogy a felhasználók könnyen hozzáférhessenek az erőforrásokhoz, és a rendszergazdák biztonságosan meghatározhassák a hozzáférést.
Mi az LDAP?
ALDAP egy olyan protokoll, amelyet arra terveztek, hogy az alkalmazások nagyon gyorsan és nagy méretben kérdezhessenek le felhasználói információkat. Ideális volt például a távközlési vagy a légiközlekedési ipar számára.
Active Directory-t olyan vállalatok számára tervezték, ahol talán néhány ezer alkalmazott és számítógép van. Az LDAP egy olyan protokoll volt, amelyet a telefonos vezeték nélküli szolgáltatókat működtető alkalmazásokhoz terveztek, amelyeknek több millió kérést kellett kezelniük a telefonhálózatok előfizetőinek hitelesítéséhez.
ALDAP egy termék-agnosztikus protokoll. Az Active Directory tulajdonképpen LDAP-támogatással valósult meg, hogy az LDAP-alapú alkalmazások egy meglévő Active Directory-környezetben is működhessenek.
Az LDAP mint protokoll elsősorban:
- A címtárszerkezettel foglalkozik. A címtár minden egyes bejegyzése attribútumokkal rendelkezik, és a címtár lekérdezésekor használt egyedi megkülönböztető név (DN) segítségével érhető el.
- Adatok hozzáadása, frissítése és olvasása. Az LDAP az adatok gyors keresésére és olvasására optimalizált.
- Hitelesítés. Az LDAP-ban “kötődünk” a szolgáltatáshoz. Ez a hitelesítés lehet egyszerű felhasználónév és jelszó, ügyféltanúsítvány vagy Kerberos-token.
- Keresés. Az egyik terület, ahol az LDAP kiválóan teljesít, a keresés. Ismétlem, az LDAP-alapú kiszolgálókat jellemzően tömeges lekérdezésekre tervezték, és ezek általában adathalmazok keresése.
Hogyan hasonlítja össze az LDAP & Active Directory-t?
Az LDAP egy protokoll, de a gyártók olyan címtárakat építettek, ahol az LDAP volt a címtárral való kommunikáció elsődleges eszköze. Ezeket gyakran LDAP-kiszolgálóként ismerték.
A kiszolgálókat elsősorban a felhasználókról szóló információk tárolására használták egy alkalmazás számára. Ennek eredményeként néha az Active Directoryhoz hasonlítják őket. Ez némi zavart okozott, és az emberek azt kérdezték, hogy melyik a jobb: az LDAP-kiszolgáló vagy az Active Directory?
Ezekre a kérdésekre nem igazán van jó válasz, mivel az összehasonlítás nem tisztességes. Az emberek talán tényleg másfajta kérdést tesznek fel. Például, hogy az Active Directory jobb választás-e alkalmazáskönyvtárnak, mint a Ping Identity Directory vagy az Oracle Internet Directory használata?
Az LDAP-kiszolgálók tipikusan nagyon nagy léptékű alkalmazásokhoz alkalmasak, mint például egy vezeték nélküli távközlési platform több millió előfizetői lekérdezéséhez.
Az LDAP olyan helyzetekben is jó, amikor nagyszámú felhasználói hitelesítés történik. Egy időben a Twitter egy nagyon nagy LDAP-szolgáltatással működtette a felhasználói hitelesítést.
Az Active Directory felépítéséből adódóan nem ideális nagyon nagy léptékű, egyetlen felhasználói közösséget tartalmazó megvalósításokhoz. Nagyon jól skálázható, ha a szervezet több erdőre és tartományra van elosztva.
Léteznek több százezer felhasználóval rendelkező Active Directory implementációk, de ezeket mind lokalizált tartományokban és erdőkben kezelik.
Ahol az Active Directory kiemelkedik
Az Active Directory kiváló az alapfeladatában, azaz a helyhez kötött Microsoft-alapú technológiákhoz, például a Windows-ügyfelekhez, kiszolgálókhoz és a SharePoint/Exchange-hez való hozzáférés kezelésében.
A csoportos házirend az Active Directoryban nagyon hatékony lehet a Windows számítógépek védelmében a tartományhoz kapcsolt Windows számítógépek és az Active Directory szoros integrációja miatt. Az LDAP-kiszolgálóknak itt nincs megfelelőjük.
Melyik felel meg a vállalkozásának?
Az Okta mind az Active Directory, mind az LDAP környezeteket támogatja. Mindkettő különálló előnyei bizonyos vállalkozások számára jobban működnek.
Sok ügyfelünknek mind Active Directory, mind LDAP-kiszolgálója van a szervezetében. Mindkettőhöz képesek vagyunk csatlakozni, és az információkat egységesíteni az Okta Universal Directoryban.
Active Directory tartományi szolgáltatások áttekintése. (2017. május). Microsoft.
Understanding Active Directory. (2018. március). Medium.
Mi a Kerberos hitelesítés? (2009. október). Microsoft.
Az Active Directory konfigurálása LDAP-hitelesítéshez. IBM.
Active Directory tartományi szolgáltatások áttekintése. (2017. május). Microsoft.
Understanding Active Directory. (2018. március). Medium.
North Korean Hackers May Be Dabbing in Ransomware Again. (2020. július). PC Magazine.
Report súlyos hibákat talált a COVID-19 vakcina fejlesztőinek rendszereiben. (2020. július). xTelligent Healthcare Media.
LDAP és Active Directory. Active Directory 360.