前几期文章介绍了轻量级目录访问协议(LDAP)的起源、基本概念和基础用例。在日新月异的现代身份管理环境中,各种新的现代身份验证协议层出不穷,很多人想知道 LDAP 是否仍然适用。为了解答这一问题,本期将深入探究 LDAP 的一些常见用例,并展望其未来发展方向——基于云的 LDAP 即服务。

1. LDAP 常见用例

回到开头的问题,LDAP 究竟适用哪些场景?虽然 LDAP 属于遗留协议的一种,但在验证 Linux 应用以及许多开源解决方案时的表现仍然非常出色。通过 LDAP 进行身份验证的用例包括:

  • OpenVPN
  • Jenkins
  • Kubernetes
  • Docker
  • Atlassian Jira & Confluence
  • Linux Samba 服务器和商用分布式网络附属存储(NAS)设备,如 Synology 或 QNAP

从上述列表可以看出,LDAP 依然用途广泛,目前有数千个附加应用可以使用 LDAP 进行集成。

2. 在多协议环境中使用 LDAP

第二个问题,在现代 IT 环境中,企业可以如何应用 LDAP?由于每个 IT 资源似乎都有各自倾向的协议,结果就导致企业需要使用各种身份验证协议,除了 LDAP 以外还包括 SAML、RADIUS、OAuth 等。更深层次的影响就是管理员和开发运维工程师需要实现每个协议。这种现象被称为“身份管理孤岛”,大大增加了管理的时间成本。

 
上述协议中并没有哪个协议完全独占,因此企业应采用可以管理多协议的身份和访问管理方案。本文的最后就将讨论企业如何通过支持多协议的单一平台统一管理 IT 资源。

3. LDAP 的影响

LDAP 在诞生之初就引起了不小的轰动,并迅速传播到世界各地,为企业提供开源和非商业化的目录。此外,LDAP 还提供了一种管理开源 Linux 集群的方式,Linux 集群是90年代中期互联网快速扩展的技术基础。而 LDAP 可以模仿 SuSe Linux 和 HP-UX,作为后者低成本、轻量级和开源的替代方案。

 
当时微软 Active Directory 是基于 Windows 的首选本地目录方案,但 LDAP 随着服务器、Linux/Unix 应用、网络设备、文件服务器等开发运维基础设施的不断发展而大量铺开。

4. LDAP 与 IT 转型

过去十年,亚马逊 AWS、谷歌 G Suite、微软 Office 365、Web 应用、Samba 文件服务器/NAS 设备、WiFi无线网络、苹果macOS 和 Linux 系统等云基础设施陆续加入,给IT 环境带来了巨大变化。IT 环境变化的同时,大量身份验证协议也层出不穷,从 SAML、OAuth 到 OpenID Connect 等等。
IT 环境的转变过程中,像 LDAP 这样的遗留协议很容易被遗忘,但总体来看,LDAP 一直都在投入使用,甚至包括现代云原生企业也在使用。简单来说,LDAP 如此坚挺的原因和最初流行的原因是一样的——轻量化、自适应性和基础性。当然,使用惯性也是一个重要因素。有些企业即便想摆脱 LDAP,用户和管理员也不愿意,因为 LDAP 早已和企业的基础设施深度融合,密不可分了。

5. LDAP 的发展方向

如果企业还未开始实施 LDAP,通常也不希望只为几个应用部署完整的 LDAP 基础架构。但是,企业也很清楚将应用和基础设施连接到 LDAP 的重要性。
LDAP-as-a-Service,简称 LDAP 即服务,它的出现是为了解决构建专用 LDAP 基础设施的问题。LDAP 即服务可以看作是一种云目录服务,负责将用户安全连接到企业 IT 资源,包括系统、应用、文件和网络。这种云目录服务同时也是身份提供程序,不受平台、协议、设备厂商和位置的影响。基于云的 LDAP 目录服务器能帮助企业统一管理人员、终端、网络、应用、多云的接入和认证,让员工、外包人员、供应商、合作伙伴等使用合规的终端都能快捷方便地访问企业云上、云下资源。
LDAP 云目录服务器的优势可以总结为以下几点:

  • 无需本地服务器,省去配置管理步骤
  • 自动负载平衡、弹性扩展和冗余
  • 基于标准 LDAP 的模式和目录结构
  • 区域负载平衡保障高性能
  • LDAPS 和 Start TLS 确保数据传输安全
  • 可扩展用户属性,包括员工 ID、职位、部门、位置等
  • 利用 groupOfNames 和 memberOf 对象类满足授权需求