LDAP vs Active Directory:
Active Directory innehåller också säkerhetsfunktioner, bland annat:
- Autentisering. Användare måste tillhandahålla relevanta autentiseringsuppgifter innan de kan få tillgång till resurser i nätverket.
- Säkerhetsgrupper. IT-administratörer organiserar användare i grupper. Grupperna tilldelas sedan appar för att minimera administrationen.
- Grupprinciper. Det finns ett stort antal principer i Active Directory som definierar vem som kan få fjärråtkomst till datorer eller konfigurera säkerhetsinställningar för webbläsare.
Active Directory har stöd för en mängd olika sätt att autentisera användare. Under hela sin livstid har Active Directory haft stöd för LAN Manager, NTLM och Kerberos. Varje gång har autentiseringsprotokollet utvecklats för att bli mer användbart och säkert.
Active Directory:s huvudsyfte var att sammanföra all Microsoft-teknik så att användarna enkelt kunde få tillgång till resurser och så att administratörer på ett säkert sätt kunde definiera deras åtkomst.
Vad är LDAP?
LDAP är ett protokoll som utformades för att program skulle kunna söka efter användarinformation mycket snabbt och i stor skala. Det var idealiskt för något som telekommunikations- eller flygbolagsindustrin.
Active Directory utformades för företag med kanske några tusen anställda och datorer. LDAP var ett protokoll som utformades för tillämpningar för trådlösa telefonoperatörer som behövde hantera miljontals förfrågningar för att autentisera abonnenter till telefonnäten.
LDAP är ett produktagnostiskt protokoll. Active Directory har faktiskt implementerats med stöd för LDAP för att LDAP-baserade tillämpningar ska kunna fungera mot en befintlig Active Directory-miljö.
Som protokoll är LDAP i första hand inriktat på:
- Katalogstruktur. Varje post i katalogen har attribut och kan nås via ett unikt distinktionsnamn (DN) som används vid sökning i katalogen.
- Lägga till, uppdatera och läsa data. LDAP är optimerat för snabb sökning och läsning av data.
- Autentisering. I LDAP ”binder” du dig till tjänsten. Denna autentisering kan vara ett enkelt användarnamn och lösenord, ett klientcertifikat eller en Kerberos-token.
- Sökning. Ett område där LDAP utmärker sig är sökning. Återigen, LDAP-baserade servrar är vanligtvis utformade för massförfrågningar, och dessa är vanligtvis sökningar efter datamängder.
Hur jämför sig LDAP & Active Directory?
LDAP är ett protokoll, men leverantörerna byggde kataloger där LDAP var det primära sättet att kommunicera med katalogen. De kallades ofta för LDAP-servrar.
Servrarna användes huvudsakligen som ett informationslager om användare för ett program. Därför jämförs de ibland med Active Directory. Detta ledde till viss förvirring, då folk frågade vad som är bäst: en LDAP-server eller Active Directory?
Det finns egentligen inget bra svar på denna fråga, eftersom det inte är en rättvis jämförelse. Folk kanske egentligen ställer en annan typ av fråga. Är till exempel Active Directory ett bättre val för en applikationskatalog än att använda Ping Identity Directory eller Oracle Internet Directory?
Typiskt sett är LDAP-servrar lämpliga för mycket storskaliga tillämpningar, till exempel de miljontals abonnentförfrågningar som görs i en trådlös telekommunikationsplattform.
LDAP är också bra i situationer där ett stort antal användarautentiseringar äger rum. Vid ett tillfälle hade Twitter en mycket stor LDAP-tjänst som drev sin användarautentisering.
På grund av sin utformning är Active Directory inte idealiskt för mycket storskaliga implementationer med en enda grupp användare. Den skalar dock mycket bra när organisationen är fördelad på flera skogar och domäner.
Det finns Active Directory-implementationer med hundratusentals användare, men alla hanteras i lokaliserade domäner och skogar.
Hur Active Directory utmärker sig
Active Directory är utmärkt på sin huvuduppgift, som är att hantera åtkomst till Microsoft-baserad teknik på plats, t.ex. Windows-klienter, servrar och SharePoint/Exchange.
Grupprinciper i Active Directory kan vara mycket effektiva när det gäller att säkra Windows-datorer på grund av den täta integrationen mellan domänanslutna Windows-datorer och Active Directory. LDAP-servrar har ingen motsvarighet här.
Vad är rätt för ditt företag?
På Okta har vi stöd för både Active Directory- och LDAP-miljöer. De olika fördelarna med vardera fungerar bättre för vissa företag.
Många av våra kunder har både Active Directory- och LDAP-servrar i sin organisation. Vi kan ansluta till båda och förenhetliga informationen i Okta Universal Directory.
Översikt över Active Directory Domain Services. (maj 2017). Microsoft.
Understanding Active Directory. (mars 2018). Medium.
Vad är Kerberos-autentisering? (oktober 2009). Microsoft.
Konfigurera Active Directory för LDAP-autentisering. IBM.
Active Directory Domain Services Overview. (maj 2017). Microsoft.
Understanding Active Directory. (mars 2018). Medium.
Nordkoreanska hackare kanske håller på med Ransomware igen. (juli 2020). PC Magazine.
Rapporten finner allvarliga brister i COVID-19-vaccinutvecklarnas system. (juli 2020). xTelligent Healthcare Media.
LDAP and Active Directory. Active Directory 360.