LDAP vs. Active Directory: Wat is het verschil?
Active Directory bevat ook beveiligingsfuncties, waaronder:
- Authenticatie. Gebruikers moeten de relevante referenties verstrekken voordat zij toegang kunnen krijgen tot bronnen op het netwerk.
- Beveiligingsgroepen. IT-beheerders delen gebruikers in groepen in. De groepen worden vervolgens toegewezen aan apps om het beheer tot een minimum te beperken.
- Groepsbeleid. Er is een groot aantal beleidsregels in Active Directory waarmee wordt bepaald wie op afstand toegang heeft tot computers of waarmee de beveiligingsinstellingen voor browsers worden geconfigureerd.
Active Directory ondersteunt verschillende manieren om gebruikers te verifiëren. In de loop van zijn bestaan heeft Active Directory LAN Manager, NTLM en Kerberos ondersteund. Telkens evolueerde het authenticatieprotocol om bruikbaarder en veiliger te zijn.
Active Directory’s belangrijkste doel was het samenbrengen van alle Microsoft-technologieën om gebruikers gemakkelijk toegang te geven tot bronnen en om beheerders in staat te stellen hun toegang veilig te definiëren.
Wat is LDAP?
LDAP is een protocol dat is ontworpen voor toepassingen om zeer snel en op schaal gebruikersinformatie op te vragen. Het was ideaal voor zoiets als de telecommunicatie- of luchtvaartindustrie.
Active Directory was ontworpen voor ondernemingen met misschien een paar duizend werknemers en computers. LDAP was een protocol dat was ontworpen voor toepassingen die de draadloze telefoonmaatschappijen aandreven, die miljoenen verzoeken moesten verwerken om abonnees op de telefoonnetwerken te authenticeren.
LDAP is een product-agnostisch protocol. Active Directory is feitelijk geïmplementeerd met LDAP-ondersteuning om op LDAP gebaseerde toepassingen te laten werken met een bestaande Active Directory-omgeving.
Als protocol houdt LDAP zich voornamelijk bezig met:
- structuur van de directory. Elke vermelding in de directory heeft attributen en kan worden benaderd via een unieke voorname naam (DN) die wordt gebruikt bij het bevragen van de directory.
- Gegevens toevoegen, bijwerken en lezen. LDAP is geoptimaliseerd voor het snel zoeken en lezen van gegevens.
- Authenticatie. In LDAP “bindt” u zich aan de dienst. Deze authenticatie kan bestaan uit een eenvoudige gebruikersnaam en wachtwoord, een clientcertificaat of een Kerberos-token.
- Zoeken. Een gebied waarop LDAP uitblinkt, is zoeken. Ook hier geldt weer dat LDAP-servers meestal zijn ontworpen voor massale query’s, en dat zijn meestal zoekopdrachten voor verzamelingen gegevens.
How Do LDAP & Active Directory compare?
LDAP is een protocol, maar leveranciers hebben directory’s gebouwd waarbij LDAP het primaire middel was om met de directory te communiceren. Zij stonden vaak bekend als LDAP-servers.
De servers werden voornamelijk gebruikt als een informatieopslag over gebruikers voor een toepassing. Als gevolg daarvan worden zij soms vergeleken met Active Directory. Dit heeft tot enige verwarring geleid, waarbij mensen vroegen wat beter is: een LDAP-server of Active Directory?
Er is niet echt een goed antwoord op deze vraag, omdat het geen eerlijke vergelijking is. Misschien stellen mensen wel een andere vraag. Is Active Directory bijvoorbeeld een betere keuze voor een applicatiedirectory dan Ping Identity Directory of Oracle Internet Directory?
Typisch gezien zijn LDAP-servers geschikt voor zeer grootschalige toepassingen, zoals de miljoenen zoekopdrachten van abonnees in een draadloos telecommunicatieplatform.
LDAP is ook goed in situaties waarin je een groot aantal authenticaties van gebruikers hebt. Twitter had op een gegeven moment een zeer grote LDAP-service voor de authenticatie van gebruikers.
Door zijn ontwerp is Active Directory niet ideaal voor zeer grootschalige implementaties met een enkele gemeenschap van gebruikers. Het schaalt zeer goed wanneer de organisatie is verdeeld in meerdere bossen en domeinen.
Er zijn Active Directory implementaties met honderdduizenden gebruikers, maar ze worden allemaal beheerd in gelokaliseerde domeinen en bossen.
Waar Active Directory uitblinkt
Active Directory is uitstekend in zijn kerntaak, namelijk het beheren van de toegang tot on-premise Microsoft-gebaseerde technologie, zoals Windows-clients, -servers en SharePoint/Exchange.
Groepsbeleid in Active Directory kan zeer effectief zijn bij het beveiligen van Windows-computers vanwege de hechte integratie tussen aan domeinen gekoppelde Windows-computers en Active Directory. LDAP-servers hebben hier geen equivalent.
What Is Right for Your Business?
Bij Okta ondersteunen we zowel Active Directory- als LDAP-omgevingen. De verschillende voordelen van elk werken beter voor bepaalde bedrijven.
Veel van onze klanten hebben zowel Active Directory als LDAP-servers in hun organisatie. We zijn in staat om verbinding te maken met beide en de informatie te verenigen in de Okta Universal Directory.
Active Directory Domain Services Overview. (Mei 2017). Microsoft.
Uitleg Active Directory. (Maart 2018). Medium.
What Is Kerberos Authentication? (Oktober 2009). Microsoft.
Configuratie van Active Directory voor LDAP-authenticatie. IBM.
Active Directory Domain Services Overview. (Mei 2017). Microsoft.
Inzicht in Active Directory. (Maart 2018). Medium.
Noord-Koreaanse Hackers Dabben mogelijk weer in Ransomware. (Juli 2020). PC Magazine.
Report Finds Serious Flaws in COVID-19 Vaccine Developers’ Systems. (Juli 2020). xTelligent Healthcare Media.
LDAP en Active Directory. Active Directory 360.