輕型目錄訪問協議 (LDAP) 和活動目錄 (AD) 是任何公司安全的核心。但是兩者有什么區別呢?LDAP 是一種開放的、與供應商無關的跨平臺協議,適用于多種目錄服務,包括 AD。相反,AD 是 Microsoft 專有的目錄服務,用于組織各種 IT 資產,如計算機和用戶。了解 LDAP 和 AD 之間的差異可以幫助您保護資源免受嚴重安全問題的影響。
什么是 LDAP?
LDAP 是一種輕量級協議,用于訪問和管理目錄服務,尤其是基于 X.500 的目錄服務。但是,與在開放系統互連 (OSI) 模型上運行的基于 X.500 的目錄不同,LDAP 在傳輸控制協議/互聯網協議 (TCP/IP) 上運行以傳輸服務。
LDAP 是 Microsoft Active Directory 中使用的核心協議。但您也可以在其他目錄服務中找到它的應用程序,例如 Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server。
LDAP 最常見的應用是對 AD 網絡的用戶進行身份驗證。在這方面,LDAP 存儲用戶名和密碼。然后,您可以使用不同的應用程序或服務(例如 Jenkins、Kubernetes 或 Docker)來驗證 AD 網絡的憑據。作為一種協議,LDAP 只定義了客戶端可以用來與服務器通信(以及服務器可以用來與服務器通信)的“語言”。
LDAP 沒有指定程序如何在服務器端或客戶端運行。例如,您可以將電子郵件程序、地址簿或打印機瀏覽器作為您的客戶端。相比之下,服務器只能使用 LDAP 或使用其他方法來傳輸數據。這樣,LDAP 只是一個附加組件。
目前有兩個版本的 LDAP:LDAPv2(2003 年正式退役)和 LDAPv3。LADPv3 的出現是為了解決 LDAPv2 在身份驗證、國際化、推薦和部署等領域的局限性。它通過簡單的身份驗證和安全層 (SASL) 利用 Kerberos v5 協議,并包含比 LDAPv2 更多的 X.500 功能。
要使 Windows AD 與 LDAP 一起使用,您需要根據 Active Directory 驗證用戶的憑據。當客戶端連接到 LDAP 服務器時,LDAP 的 BIND 操作會為任何會話設置身份驗證狀態。有兩個 LDAP 身份驗證選項:簡單和 SASL。
通過簡單身份驗證,用戶名和密碼會向服務器創建一個 BIND 請求。另一方面,SASL 身份驗證使用另一個身份驗證系統(例如 Kerberos)將憑據綁定到 LDAP 服務器。SASL 提供了更高的安全性,因為它將應用程序協議與身份驗證方法分開,使 AD 不易受到攻擊。
什么是AD?
AD 是微軟的目錄服務。Microsoft 開發 AD 作為其 Windows 域網絡的一部分以提供兩個功能。首先,AD 是一個分布式分層數據庫,其中存儲了有關 IT 資產(例如用戶、計算機和其他資源)的所有信息。其次,AD 包含允許用戶訪問和操作這些資源的服務。
在這方面,AD 允許您管理所有 Windows 域網絡元素,包括用戶、組、計算機、安全策略和其他用戶定義的對象。Active Directory 利用 LDAP 和域名系統 (DNS) 來定位和訪問網絡上的任何資源。
AD 有兩個主要目標:
- 它允許用戶通過單點登錄 (SSO) 訪問域內的資源。
- 它允許 IT 管理員集中管理用戶和其他網絡資源。
AD 將數據存儲為對象。AD 的對象是單個元素,例如計算機、用戶、共享文件夾或打印機。為了對對象進行分類,AD 使用名稱和屬性。例如,AD 可能會使用用戶名、密碼和安全外殼 (SSH) 密鑰等詳細信息來存儲用戶。
以下是最常見的 AD 服務:
- 活動目錄域服務 (AD DS)。AD DS 是 AD 的主要組件。AD DS 將資源組織成邏輯層次結構。它還根據組策略控制您可以在網絡上訪問哪些資源。域控制器 (DC) 是托管 AD DS 的服務器。每個 AD 必須至少有一個 DC。域控制器是定義域的容器,其中每個域都是 AD 林的一個子集。AD 森林通常包括一個或多個域,DC 在組織單元 (OU) 中組織這些域。
- Active Directory 輕型目錄服務 (AD LDS)。AD LDS 利用 LDAP 和類似 AD DS 的功能。您可以將 AD LDS 用于不需要與 Windows 域網絡集成的啟用目錄的應用程序。
- 活動目錄聯合服務 (AD FS)。AD FS 通過 SSO 對多個應用程序的用戶進行身份驗證。使用 SSO,您只需登錄一次即可訪問多個服務,而不是為每個服務使用不同的身份驗證密鑰。
- 活動目錄證書服務 (AD CS)。AD CS 是一種本地公鑰基礎結構 (PKI) 機制,用于創建、驗證和吊銷證書。它加密和解密 Windows 域網絡上的電子郵件、文件和網絡流量。
- Active Directory 權限管理服務 (AD RMS)。AD RMS 處理 Windows 域網絡上的信息權限和管理。它可以加密內容,例如服務器上的 Excel 文件,以限制訪問。
LDAP 和 AD 如何比較?
雖然 LDAP 和 AD 可以協同工作以增強組織的整體安全性,但它們在理念、功能和標準方面有所不同。首先,LDAP 是一種開放的應用程序協議,在 Windows 結構之外工作,主要針對 Unix 和 Linux 環境。另一方面,AD 是 Microsoft用于訪問和管理目錄的專有解決方案。
其次,LDAP 是一個核心協議,可以與 Active Directory、Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server 等目錄服務提供商一起工作。它允許用戶查詢和修改目錄中的項目。另一方面,AD 主要是目錄服務實現,具有組和用戶管理、策略管理和身份驗證等功能。
第三,LDAP 沒有與 SSO 相同的概念,因為它是一個開源解決方案。相反,AD 支持域和 SSO。例如,如果網絡操作系統 (NOS) 具有多個 AD 域,您可以在客戶端上設置 SSO 以跨域運行。
什么是 Active Directory 輕型目錄服務 (AD LDS)?
Active Directory 輕型目錄服務 (AD LDS) 是一種數據存儲和檢索解決方案,適用于希望為其基于目錄的應用程序提供靈活支持的組織。AD LDS 與 AD DS 具有相同的代碼庫,因此與其共享功能。但是,與運行域的 AD DS 不同,AD LDS 在逐個應用程序的基礎上運行。
AD LDS 利用 LDAP 目錄服務,該服務支持啟用目錄的應用程序,沒有與域相關的限制和 AD DS 依賴性。對于希望使用基于目錄的應用程序而不將它們與 Windows 域目錄集成的 IT 管理員來說,這是一個福音。
由于它不需要 DNS,因此您可以在客戶端操作系統(例如 Windows 工作站)上運行 AD LDS。您還可以在單??個設備上同時運行多個 AD LDS 實例,每個實例都有一個獨立的架構。因此,您可以利用 AD LDS 進行軟件支持和測試。
