接上篇,可点击​​《快速搞懂LDAP、OpenLDAP和Active Directory之间的区别(上)》​​直接跳转阅读


一、选择 OpenLDAP 的主要原因是什么?

许多企业选择 OpenLDAP 是因为其更灵活,还能节约成本。对于熟练的工程师来说,OpenLDAP 是高度可配置的,对于具有小众或细微需求的企业来说是个更好的选择。 
 
此外,它与几乎所有平台或操作系统兼容,而 AD 适配 Windows 设备。使用或计划使用 Mac、Linux 或其他系统的企业往往会选择 OpenLDAP。拥有遗留应用程序或基于 Linux 的应用程序的企业通常也会选择 OpenLDAP。


二、什么情况下使用 Active Directory ?

 

如果您的IT环境是完全同类的并且仅基于 Microsoft 和 Windows系统,那么 AD 会是最佳选择。在 Windows 环境中,IT 管理员可以使用基于 Windows 的 Active Directory 用户和计算机控制台来执行几乎所有的管理任务。但是,即使在这些环境中,企业仍然需要考虑如何利用移动和 SaaS 应用程序、Mac 和 Linux 设备支持、非 Windows 文件服务器和网络设备,因为 AD 通常在没有附加工具的情况下无法与这些资源集成。

AD 提供容易上手的 GUI,用于配置、设置以及管理用户和组。对于在配置开源软件方面经验不足的人来说,OpenLDAP 缺乏接口这一点可能是个棘手之处,这样一来 AD 成了更好的选择。
 
虽然 OpenLDAP 和 LDAP 协议先于微软进入目录服务领域,但微软 AD 已经获得了最大的市场份额——尽管随着云目录的出现,IAM 格局开始发生变化。结合对用户更友好的工具套件,AD对于以 Windows/Azure 为中心的企业来说是个极具吸引力的选择。
 
AD 比 LADP 提供更多的协议,而 OpenLDAP 是 LDAP 专有的。随着网络覆盖范围的扩大和分散,多协议目录服务越来越受欢迎;公司需要对用户进行身份验证以获取更多、更广泛的资源,而不同的资源结合不同的协议往往工作效果最佳。 
 
在高度依赖云应用的环境下,SAML 和 SSO 解决方案更适合使用。在这种情况下,AD 和 OpenLDAP 都需要额外的身份和访问管理工具。理想情况下,无论用户身在何处(包括云),IAM 工具或目录服务应能够使用最合适的协议对用户进行身份验证和授权,以访问所有 IT 资源。这是 OpenLDAP 和 AD 都不足的一个领域。 


三、AD 和 OpenLDAP 的不足之处


在许多情况下,AD 和 OpenLDAP 都不是企业身份管理基础设施的唯一正确选择。尽管 OpenLDAP 和 AD 都有自己的支持者,但事实是它们是过时的系统,需要靠其他解决方案来完成企业的 IAM 架构。
 
两者都存在可用性问题。AD 虽然功能强大,但在使用 Azure AD 等附加组件扩展以管理多样化和分散的环境时会变得复杂。此外,虽然微软似乎确实有兴趣支持非 Windows 平台,但与竞争对手的解决方案相比,微软内部更偏向于 Windows 和 Azure。 
 
另一方面,OpenLDAP 的灵活性具有挑战性,并且会给不太懂技术的人带来麻烦。OpenLDAP 服务器配置会很复杂,并且很难跟上应用程序的依赖项、修改目录数据或schema,并随着业务的变化和扩展而保持目录的完整性。此外,管理 OpenLDAP 基础设施的简单问题也有挑战,尤其是越来越多的企业将技术管理转移到云提供商和 SaaS 供应商。
 
虽然 OpenLDAP 可以在云中工作,但它只使用 LDAP 协议。尽管 AD 使用 Kerberos 等其他协议,但它对云并不友好。为了与云集成,AD 需要像 Azure 这样的复杂附加组件——但即使是 Azure 也不允许企业完全脱离本地目录(没有专门的按小时计费的托管目录用例,如 Azure AD域服务)。AD 还需要大量的附加组件和集成来管理非 Windows 设备。随着世界都在向云端迁移,企业的设备和工具多样化,应用程序需要更专业的身份验证和授权协议,这些都是显著的缺点。
 
由于这两种解决方案都无法有效采用连接到用户需要的所有资源所需的协议和云兼容性,因此都无法真正集中用户管理。相反,两者都可以在多功能 IAM 系统中充当工具。这种去中心化的用户管理系统会给 IT 团队带来不一致性、安全漏洞和额外的管理工作。


四、更好的选择:NingDS 云目录平台


为了解决分散的用户管理系统、多操作系统、对云或混合云基础设施中资源的认证和授权访问以及对多种协议的需求,许多公司正在转向云目录平台。 
 
借助基于云的目录服务平台,IT 管理员无需持续维护本地目录,他们可以使用多协议、与操作系统无关的集中式用户管理系统,该系统通常通过丰富的 GUI 进行管理。 
 
在考虑 AD、OpenLDAP 和云目录平台(三种最常见的目录服务选项)时,重要的是要考虑您当前的基础设施以及企业发展方向。越来越多公司选择将这三个结合到一个平台上的云目录服务。
 
若满足以下条件,您的公司将更适合云目录平台:
 
拥有混合平台,例如 Mac、Linux 和 Windows 计算机;使用 SaaS 应用程序;使用云/混合云基础设施或 IaaS,如 AWS、Google Workspace、GitHub、Dropbox 等;支持或计划支持远程办公、混合办公或移动办公。云目录服务允许用户从任何位置访问相同的 IT 资源。
 
例如,借助 NingDS 云目录平台,IT 管理员可以将用户身份连接到他们需要的 IT 资源,而不受平台、提供商、协议或位置的影响。NingDS 使用与操作系统无关的多协议方法,因此您无需切换公司现有的身份验证解决方案、设备或当前使用的应用程序。它还包括移动设备管理 (MDM),并通过丰富的 GUI 简化目录管理,GUI 为管理员提供命令行执行选项。最后,您甚至可以将 AD 等现有目录服务集成到 NingDS 中,这样就无需放弃现有目录从头开始。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)