對於託管服務提供商 (MSP) 而言,Active Directory 和輕型目錄訪問協議(AD 和 LDAP)是如此常見和熟悉,以至於他們很少費心去討論它們的功能以及如何最有效地使用它們。這是不幸的,因為 AD 和 LDAP 對於 IT 專家所做的所有工作都至關重要。出於這個原因,必須徹底理解和反思這些概念,以展示如何在 IT 組織中最有效地應用它們。為了幫助促進這種理解,我們決定解釋 LDAP 和 AD 之間的重要關係以及它們之間的一些主要區別。
內容
< Active Directory (AD) 是如何工作的?
活動目錄及其服務
Active Directory (AD) 是微軟用來管理網絡用戶的工具,稱為目錄服務。目錄只是一個數據庫,其中包含有關公司用戶的信息,包括他們的姓名、登錄名、密碼、職務、個人資料等。
AD的一些主要特點是:
- 集中認證
- 受控的安全級別
- 將域細分為邏輯單元
- 提供數據複製能力
- 方便多個域的分配和維護
- 基於 DNS 的名稱系統統一
- 提供網絡上可用資源的索引
活動目錄 (AD) 是如何工作的?
有兩種方法可以查看 AD 的功能。
AD 如何從用戶的角度發揮作用
從用戶的角度來看,AD 的作用是讓他們可以訪問網絡上的可用資源。他們只需在本地網絡環境中登錄一次即可完成此操作(通常在啟動操作系統時)。當用戶輸入他的登錄名和密碼時,AD 確定他們提供的數據是否有效,如果有效,則執行身份驗證。然後,Active Directory 的目錄服務將控制對企業網絡中共享資源的所有訪問。
從技術角度看AD功能
我們可以理解為 Active Directory (AD) 作為一個數據庫(在目錄模型中)在使用 Windows Server 的計算機網絡中執行特定功能:網絡用戶的管理。
Active Directory 域服務的主要功能
為了協調網絡組件,Active Directory 域服務使用由域、樹和林組成的分層佈局結構。在主要層中,森林是最大的,域是最小的。
同一個域將包含共享同一個數據庫的許多對象,例如用戶和設備。
樹是具有信任關係層次結構的一個域或域的集合。
森林是幾棵樹的集合。雖然可以為共享公共數據庫的域配置身份驗證和加密等設置,但森林提供安全邊界。
什麼是 LDAP 以及 LDAP 的用途是什麼?
當網絡上有多台計算機時,正確管理數據和用戶憑據非常重要。像 LDAP 這樣的系統對於創建層次結構至關重要。因為它將使我們能夠正確存儲、管理和保護所有設備的信息,並將負責管理所有用戶和資產。
輕量目錄訪問協議定義
輕量級目錄訪問協議,更廣為人知的名稱是 LDAP,是一種開放的、無供應商的行業標準應用程序協議,用於通過 Internet 協議 (IP) 網絡訪問和維護分佈式目錄信息服務。它也被稱為“輕量級目錄訪問協議”,它是一種 TCP/IP 應用層協議,允許訪問有序和分佈式目錄服務,以搜索環境網絡中的任何信息。
LDAP 的用途
通常,LDAP 服務器負責跟踪身份驗證數據,例如登錄名和密碼,這些數據稍後將用於授予對另一個協議或系統服務的訪問權限。它不僅可以保留登錄名和密碼,還可以保留用戶的聯繫信息、附近網絡資源的位置、用戶自己的數字證書等等。無需在操作系統中創建多個用戶,我們就可以使用更加靈活和強大的 LDAP 訪問協議來訪問本地網絡的資源。例如,LDAP 為各種軟件的用戶啟用身份驗證和授權活動,包括 Docker、OpenVPN、QNAP、Synology 或 ASUSTOR 等使用的文件服務器,以及更多用途。 LDAP 服務器通常位於專用網絡或局域網中,用於對各種應用程序和用戶進行身份驗證,但它也可以在公共網絡上運行。
使用 LDAP,我們還可以在多個服務器之間交換數據。如果我們在一台服務器上驗證自己,但它沒有我們需要的信息,我們可以查詢同一本地網絡上的另一台服務器,看看我們是否真的有這些信息。這類似於當 DNS 服務器向上移動直到到達根服務器時相互通信時發生的情況。
用於 SSO 的 LDAP
隨著企業規模和復雜性的增長,使用安全有效的用戶識別系統已成為一項關鍵需求。使用 LDAP 的SSO或使用 LDAP 的 SSO 是當前使用的非常流行的身份驗證方法。 SSO 系統允許通過一次登錄訪問多個系統,而 LDAP 用作這些 SSO 系統使用的身份驗證協議。
搜索居住在特定位置(例如城市甚至城鎮)的人的電子郵件地址的電子郵件客戶端很好地說明瞭如何使用 LDAP。 LDAP 不僅僅用於使人們更容易獲得聯繫信息。由於機器中的加密證書等困難,它的使用非常徹底,它還會查看連接到網絡的其他資源,例如掃描儀和打印機。
LDAP 服務器可以是公共服務器,甚至可以是小型工作組服務器。與其他服務器一樣,管理員設置這些數據庫允許的權限。
另一方面,SSO 代表單點登錄,是一種使用戶只需登錄一次即可訪問眾多系統的解決方案。作為用戶系統一部分的許多系統不提供任何額外的登錄提示。使用 SSO 系統提供更好的安全性和減少網絡釣魚活動是其主要優勢。更少的身份驗證嘗試也令人鼓舞,因為它可以防止最終用戶獲得密碼疲勞。這會降低幫助台的運營成本。
查看這兩個應用程序,可以討論的區別是 LDAP 是一種應用程序協議,用於在服務器端交叉檢查數據。另一方面,SSO 使用用戶身份驗證,用戶提供對多個系統的訪問。
活動目錄與 LDAP
AD 和 LDAP 可以合作提高整個公司的安全性,但它們具有不同的理念、功能和標準。
首先,LDAP 是一種在 Windows 框架之外運行的開放應用程序協議,主要針對 Unix 和 Linux 環境。另一方面,AD 是 Microsoft 用於訪問和組織目錄的專有解決方案。
其次,LDAP 是一種與目錄服務提供商(如 Active Directory、Red Hat Directory Servers、Open LDAP 和 IBM Security Directory Server)兼容的基本協議。用戶可以使用它來搜索和修改目錄中的項目。另一方面,AD 主要是目錄服務實現,具有組和用戶管理、策略管理和身份驗證等功能。
第三,由於 LDAP 是一種開源解決方案,它在概念上不同於 SSO。但是,AD 支持域和 SSO。例如,如果網絡操作系統 (NOS) 包含多個 AD 域,您可以在客戶端上配置 SSO 以跨域工作。
最後,Active Directory 是可以提供使用 LDAP 的服務的解決方案之一。另一方面,LDAP 是一種協議,比 Active Directory 使用更廣泛。無論您使用 Active Directory、OpenLDAP 還是其他企業提供的任何其他目錄服務,您都可能會使用 LDAP。
Active Directory 是否使用 LDAP?
儘管 LDAP 和 AD 並不等同,但它們可以相互補充,為您的企業或組織帶來優勢。 AD 是 Microsoft 的一種目錄服務,它使有關人員的關鍵信息可以在特定組織內的受限基礎上訪問。同時,LDAP 是一種協議,它不僅僅被 Microsoft 使用,它允許用戶查詢 AD 並驗證對其的訪問。
簡單地說,LDAP 是一種與 Active Directory 通信的方式。它是許多不同的目錄服務都能理解的協議,因此它是一個目錄服務協議。而 Active Directory 是一個使用 LDAP 協議的目錄服務器。
在這個數字安全永遠不夠全面的現代時代,不可能強調 IT 專家理解這些想法並以適合其業務的方式使用它們的重要性。
為您的 AD 環境提供可靠保護
12年來,我們公司一直以簡單的使命為企業客戶解決複雜的困境。 “我們構建可靠且方便的身份和訪問管理解決方案”。從那時起,我們獲得了 Centrify、CyberArch、Cyphort、ISACA、Arzinger、Saife 等的積極評價。
Hideez 身份驗證服務將所有現有的身份驗證方法——密碼、一次性密碼、強雙因素身份驗證 (FIDO U2F)、無密碼身份驗證 (FIDO2) 和單點登錄 (SSO) 整合到一個解決方案中,該解決方案可輕鬆與基於企業環境的集成關於將Hideez Enterprise Server與 LDAP 和 SAML 集成的功能。您的 IT 團隊可以節省時間和成本,並且可以放心,所有用戶都經過安全的網絡身份驗證,並且只能訪問允許的內容。
有關詳細信息,請安排個性化演示並了解 Hideez 如何幫助保護您的 Active Directory / Azure Active Directory 環境。
