什么是LDAP和AD?

轻型目录访问协议 (LDAP) 和活动目录 (AD) 是任何公司安全的核心。但是两者有什么区别呢?LDAP 是一种开放的、与供应商无关的跨平台协议,适用于多种目录服务,包括 AD。相反,AD 是 Microsoft 专有的目录服务,用于组织各种 IT 资产,如计算机和用户。了解 LDAP 和 AD 之间的差异可以帮助您保护资源免受严重安全问题的影响。

什么是LDAP和AD?-南华中天

什么是 LDAP?

LDAP 是一种轻量级协议,用于访问和管理目录服务,尤其是基于 X.500 的目录服务。但是,与在开放系统互连 (OSI) 模型上运行的基于 X.500 的目录不同,LDAP 在传输控制协议/互联网协议 (TCP/IP) 上运行以传输服务。

LDAP 是 Microsoft Active Directory 中使用的核心协议。但您也可以在其他目录服务中找到它的应用程序,例如 Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server。

LDAP 最常见的应用是对 AD 网络的用户进行身份验证。在这方面,LDAP 存储用户名和密码。然后,您可以使用不同的应用程序或服务(例如 Jenkins、Kubernetes 或 Docker)来验证 AD 网络的凭据。作为一种协议,LDAP 只定义了客户端可以用来与服务器通信(以及服务器可以用来与服务器通信)的“语言”。

LDAP 没有指定程序如何在服务器端或客户端运行。例如,您可以将电子邮件程序、地址簿或打印机浏览器作为您的客户端。相比之下,服务器只能使用 LDAP 或使用其他方法来传输数据。这样,LDAP 只是一个附加组件。

目前有两个版本的 LDAP:LDAPv2(2003 年正式退役)和 LDAPv3。LADPv3 的出现是为了解决 LDAPv2 在身份验证、国际化、推荐和部署等领域的局限性。它通过简单的身份验证和安全层 (SASL) 利用 Kerberos v5 协议,并包含比 LDAPv2 更多的 X.500 功能。

要使 Windows AD 与 LDAP 一起使用,您需要根据 Active Directory 验证用户的凭据。当客户端连接到 LDAP 服务器时,LDAP 的 BIND 操作会为任何会话设置身份验证状态。有两个 LDAP 身份验证选项:简单和 SASL。

通过简单身份验证,用户名和密码会向服务器创建一个 BIND 请求。另一方面,SASL 身份验证使用另一个身份验证系统(例如 Kerberos)将凭据绑定到 LDAP 服务器。SASL 提供了更高的安全性,因为它将应用程序协议与身份验证方法分开,使 AD 不易受到攻击。

什么是AD?

AD 是微软的目录服务。Microsoft 开发 AD 作为其 Windows 域网络的一部分以提供两个功能。首先,AD 是一个分布式分层数据库,其中存储了有关 IT 资产(例如用户、计算机和其他资源)的所有信息。其次,AD 包含允许用户访问和操作这些资源的服务。

在这方面,AD 允许您管理所有 Windows 域网络元素,包括用户、组、计算机、安全策略和其他用户定义的对象。Active Directory 利用 LDAP 和域名系统 (DNS) 来定位和访问网络上的任何资源。

AD 有两个主要目标:

  • 它允许用户通过单点登录 (SSO) 访问域内的资源。
  • 它允许 IT 管理员集中管理用户和其他网络资源。

AD 将数据存储为对象。AD 的对象是单个元素,例如计算机、用户、共享文件夹或打印机。为了对对象进行分类,AD 使用名称和属性。例如,AD 可能会使用用户名、密码和安全外壳 (SSH) 密钥等详细信息来存储用户。

以下是最常见的 AD 服务:

  • 活动目录域服务 (AD DS)。AD DS 是 AD 的主要组件。AD DS 将资源组织成逻辑层次结构。它还根据组策略控制您可以在网络上访问哪些资源。域控制器 (DC) 是托管 AD DS 的服务器。每个 AD 必须至少有一个 DC。域控制器是定义域的容器,其中每个域都是 AD 林的一个子集。AD 森林通常包括一个或多个域,DC 在组织单元 (OU) 中组织这些域。
  • Active Directory 轻型目录服务 (AD LDS)。AD LDS 利用 LDAP 和类似 AD DS 的功能。您可以将 AD LDS 用于不需要与 Windows 域网络集成的启用目录的应用程序。
  • 活动目录联合服务 (AD FS)。AD FS 通过 SSO 对多个应用程序的用户进行身份验证。使用 SSO,您只需登录一次即可访问多个服务,而不是为每个服务使用不同的身份验证密钥。
  • 活动目录证书服务 (AD CS)。AD CS 是一种本地公钥基础结构 (PKI) 机制,用于创建、验证和吊销证书。它加密和解密 Windows 域网络上的电子邮件、文件和网络流量。
  • Active Directory 权限管理服务 (AD RMS)。AD RMS 处理 Windows 域网络上的信息权限和管理。它可以加密内容,例如服务器上的 Excel 文件,以限制访问。

LDAP 和 AD 如何比较?

虽然 LDAP 和 AD 可以协同工作以增强组织的整体安全性,但它们在理念、功能和标准方面有所不同。首先,LDAP 是一种开放的应用程序协议,在 Windows 结构之外工作,主要针对 Unix 和 Linux 环境。另一方面,AD 是 Microsoft用于访问和管理目录的专有解决方案。

其次,LDAP 是一个核心协议,可以与 Active Directory、Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server 等目录服务提供商一起工作。它允许用户查询和修改目录中的项目。另一方面,AD 主要是目录服务实现,具有组和用户管理、策略管理和身份验证等功能。

第三,LDAP 没有与 SSO 相同的概念,因为它是一个开源解决方案。相反,AD 支持域和 SSO。例如,如果网络操作系统 (NOS) 具有多个 AD 域,您可以在客户端上设置 SSO 以跨域运行。

什么是 Active Directory 轻型目录服务 (AD LDS)?

Active Directory 轻型目录服务 (AD LDS) 是一种数据存储和检索解决方案,适用于希望为其基于目录的应用程序提供灵活支持的组织。AD LDS 与 AD DS 具有相同的代码库,因此与其共享功能。但是,与运行域的 AD DS 不同,AD LDS 在逐个应用程序的基础上运行。

AD LDS 利用 LDAP 目录服务,该服务支持启用目录的应用程序,没有与域相关的限制和 AD DS 依赖性。对于希望使用基于目录的应用程序而不将它们与 Windows 域目录集成的 IT 管理员来说,这是一个福音。

由于它不需要 DNS,因此您可以在客户端操作系统(例如 Windows 工作站)上运行 AD LDS。您还可以在单​​个设备上同时运行多个 AD LDS 实例,每个实例都有一个独立的架构。因此,您可以利用 AD LDS 进行软件支持和测试。