Каковы различия между LDAP и Active Directory?
Каковы различия между LDAP и Active Directory?
Ответы:
Active Directory - это система на основе базы данных, которая обеспечивает аутентификацию, каталог, политику и другие службы в среде Windows
LDAP (облегченный протокол доступа к каталогам) - это прикладной протокол для запроса и изменения элементов в поставщиках службы каталогов, таких как Active Directory, который поддерживает форму LDAP.
Краткий ответ: AD - это база данных служб каталогов, а LDAP - один из протоколов, которые вы можете использовать для общения с ней.
LDAP - это стандарт, AD - это (проприетарная) реализация Microsoft (и многое другое). В Википедии есть хорошая статья, которая углубляется в специфику. Я нашел этот документ с очень подробной оценкой AD с точки зрения LDAP.
Облегченный протокол доступа к каталогам или LDAP - это основанная на стандартах спецификация для взаимодействия с данными каталога. Службы каталогов могут реализовывать поддержку LDAP для обеспечения взаимодействия между сторонними приложениями.
Active Directory - это реализация Microsoft службы каталогов, которая, помимо других протоколов, поддерживает LDAP для запроса своих данных.
Поддерживая LDAP, Active Directory предоставляет множество расширений и удобств, таких как истечение срока действия пароля и блокировка учетной записи.
Краткое содержание
Active Directory
это службы каталогов, реализованные Microsoft и поддерживающие Lightweight Directory Access Protocol
(LDAP).
Длинный ответ
Во-первых, нужно знать, что есть Directory Service
.
Служба каталогов - это программная система, которая хранит, организует и обеспечивает доступ к информации в каталоге операционной системы компьютера. В разработке программного обеспечения каталог представляет собой карту между именами и значениями. Это позволяет искать именованные значения, как словарь.
Для получения более подробной информации, прочитайте https://en.wikipedia.org/wiki/Directory_service
Во-вторых, как можно себе представить, разные поставщики реализуют всевозможные формы службы каталогов, что наносит вред совместимости нескольких поставщиков.
В-третьих, поэтому в 1980-х годах МСЭ и ИСО разработали набор стандартов - X.500 для служб каталогов, первоначально для поддержки требований к электронному обмену сообщениями между операторами и поиску сетевых имен.
В-четвертых, на основе этого стандарта разрабатывается облегченный протокол доступа к каталогам LDAP. Он использует стек TCP / IP и схему строкового кодирования протокола доступа к каталогам X.500 (DAP), что делает его более актуальным в Интернете.
Наконец, на основе этого стека LDAP / X.500 Microsoft внедрила современную службу каталогов для Windows, происходящую из каталога X.500, созданную для использования в Exchange Server. И эта реализация называется Active Directory
.
Итак, в кратком изложении, Active Directory
это службы каталогов, реализованные Microsoft и поддерживающие Lightweight Directory Access Protocol
(LDAP).
PS [0]: Этот ответ копирует содержимое со страницы википедии, указанной выше.
PS [1]: Чтобы узнать, почему лучше использовать службу каталогов, а не только реляционную базу данных, прочитайте https://en.wikipedia.org/wiki/Directory_service#Comparison_with_relational_databases.
Active Directory - это не просто реализация LDAP от Microsoft, это лишь малая часть того, чем является AD. Active Directory - это (в упрощенном виде) сервис, который обеспечивает аутентификацию на основе LDAP с авторизацией на основе Kerberos.
Конечно, их реализации LDAP и Kerberos в AD не на 100% совместимы с другими реализациями LDAP / Kerberos ...
Active directory - это поставщик службы каталогов, в котором вы можете добавить нового пользователя в каталог, удалить или изменить его, указать привилегии, назначить политику и т. Д. Он похож на телефонный справочник, где у каждого человека есть уникальный контактный номер. Каждая вещь в AD (Active Directory) рассматривается как объекты, и каждому объекту присваивается уникальный идентификатор (аналогично уникальному контактному номеру в телефонном справочнике).
Ldap - это протокол, специально разработанный для поставщиков услуг каталогов. Операционная система сервера Windows использует AD в качестве сервера каталогов, а AIX, являющаяся версией UNIX от IBM, использует сервер каталогов Tivoli. Оба они используют протокол LDAP для взаимодействия с каталогом.
Помимо протокола существуют LDAP-серверы и LDAP-браузеры.
LDAP находится на вершине стека TCP / IP и контролирует доступ к интернет-каталогам. Это не зависит от окружающей среды.
AD & ADSI - это оболочка COM для уровня LDAP, специфичная для Windows.
Вы можете увидеть объяснение Microsoft здесь .
https://jumpcloud.com/blog/difference-between-ldap-and-active-directory/
В действительности, между двумя решениями для каталогов, вероятно, больше различий, чем сходств. AD от Microsoft в значительной степени является каталогом для пользователей, устройств и приложений Windows. Для AD требуется наличие контроллера домена Microsoft, а когда он есть, пользователи могут выполнять единый вход в ресурсы Windows, которые находятся в структуре домена.
LDAP, с другой стороны, в основном работал вне структуры Windows, концентрируясь на среде Linux / Unix и на более технических приложениях. В LDAP нет одинаковых концепций доменов или единого входа. LDAP в значительной степени реализован с помощью решений с открытым исходным кодом и, как результат, обладает большей гибкостью, чем AD.
Еще одно критическое различие между LDAP и Active Directory заключается в том, как AD и LDAP подходят к управлению устройствами. AD управляет устройствами Windows с помощью объектов групповой политики (GPO). Подобная концепция не существует в LDAP. Как LDAP, так и AD являются весьма разными решениями, и в результате многие организации должны использовать оба этих решения для разных целей.
Вот почему есть очевидная возможность для инноваций. Зачем использовать две полные системы и управлять ими, если одна система может эффективно объединить две?