LDAP(轻量级目录访问协议)是用户、设备和客户端与目录服务器通信的标准协议。LDAP 协议帮助用户对 IT 资源进行身份验证和授权,这些资源包括服务器、应用程序、网络、文件服务器等。
 
OpenLDAP 和 微软的 Active Directory (AD)是目前最流行的两大 LDAP 目录服务,这两个方案已经实现了工具、接口和其他附加功能。在本文中,我们将讨论这两者的区别。但首先,让我们分清一下 LDAP 和其他软件的区别。


一、LDAP与OpenLDAP、AD有什么区别?


LDAP 是定义用户、设备和客户端如何与目录服务器通信的协议。它还为如何在目录中组织和展示信息提供了一个框架。这些框架灵活且可自定义,因此不同的目录可以应用不同的格式,但它们往往遵循分层次的树结构。
 
使用 LDAP ,用户可以通过输入凭证访问 IT 资源。该协议搜索凭证并将其与 LDAP 服务器为身份验证用户存储的内容进行比较——如果用户名和密码与目录中列出的内容匹配,则 LDAP 将对用户进行身份验证。通过使用 LDAP,企业可以集中控制身份验证服务,同时为用户提供快速访问网络上诸多IT资源的权限。
 
LDAP 协议不是软件,而是用于简化 LDAP 目录的创建、实施和管理的软件包。OpenLDAP 是最早的软件实现之一。 


二、LDAP和OpenLDAP有什么区别?

 
OpenLDAP 是LDAP 协议免费、开源的实现。因为它是一种常见的、免费的自由迭代产品,任何人都可以使用,故 OpenLDAP 有时就叫做“LDAP”。然而,它不仅仅是协议,也是轻量级的 LDAP 目录软件。
 
OpenLDAP 可以在任何平台上使用。与其他能提供更强大的功能(如 GUI)以及通常是其他协议和功能的套件(通常成本较高)的实现相比,OpenLDAP 是一个高度集中的 LDAP 选项,支持定制并适用于所有主要计算平台。虽然灵活性听起来像是一个优势(通常是这样),但它会使软件更难导航,再加上它缺乏接口,意味着它可能需要大量的专业知识来实现和管理。


三、OpenLDAP和AD有什么区别?


Microsoft Active Directory (AD) 是一种目录服务,可将用户和设备帐户数据存储在中央位置,用于基于 Windows 的网络、设备、应用程序和文件实现访问。 
 
AD 比 OpenLDAP 功能更丰富:它包括一个 GUI (图形用户界面) 和更强大的配置功能,例如 Windows 设备的组策略对象。OpenLDAP 仅使用 LDAP 协议,而 AD 还用了除 LDAP 之外的其他协议。事实上,LDAP 并不是 AD 的主要协议;相反,它利用 Microsoft 专有的轻量级目录访问协议的实现,并主要使用 Microsoft 的专有身份验证协议 Kerberos。 
 
虽然总体上看 AD 更强大,但 OpenLDAP 是专注于 LDAP 协议的产品,其提供的服务比AD要更广泛。
 
当然,成本差异反映了更广泛的功能概念和 Microsoft 解决方案的商业性质:OpenLDAP 是免费的,而 AD 不是。AD 需要授权,并且由于它是在预置设备上运行,因此 AD 硬件和维护成本可能会增加。
 
虽然 AD 提供了 LDAP 协议之外的更多功能,但 OpenLDAP 在实施方面更加灵活并且支持定制。在考虑这两者时,企业应该决定他们是倾向于灵活性 (OpenLDAP) 还是易用性 (AD)。
 
对于某些企业来说,OpenLDAP 更合适。具体来说,对于利用基于 Linux 的系统和应用程序、网络设备以及 NAS 和 SAN 存储系统的企业来说,LDAP 通常是这些 IT 资源的首选协议。此外,对于利用数据中心或“云基础设施即服务”技术的企业而言,使用 OpenLDAP 服务器往往比 Active Directory 更有效。 
 
当然,Active Directory 也有自身优势。对于主要基于 Windows 并仅打算利用 Azure 云基础设施的企业而言,结合Active Directory 和 Azure AD 会更有益。但是,即使如此,许多 IT 企业仍选择使用 OpenLDAP,因为 Azure AD 缺乏对云基础设施的 LDAP 支持。


(未完待续,下篇将继续讲解哪些企业适合AD或OpenLDAP,及现代企业更理想的目录服务方案。想了解更多内容也可以访问宁盾官网博客。)