Sự khác biệt giữa Active Directory và LDAP
LDAP là cách nói chuyện với Active Directory. LDAP là một giao thức mà nhiều dịch vụ thư mục và giải pháp quản lý truy cập khác nhau có thể hiểu được. Hãy cùng tìm hiểu về khái niệm của LDAP và Active Directory. Đồng thời thấy được mối liên hệ của cả hai trong triển khai và truy cập thư mục.
1. LDAP là gì?
LDAP – Giao thức truy cập thư mục nhẹ là giao thức mở và đa nền tảng. LDAP được sử dụng để xác thực dịch vụ thư mục. Cung cấp ngôn ngữ giao tiếp mà các ứng dụng sử dụng để giao tiếp với máy chủ dịch vụ thư mục khác. Dịch vụ thư mục lưu trữ người dùng, mật khẩu và tài khoản máy tính. Và chia sẻ thông tin đó với các thực thể khác trên mạng.
2. Active Directory là gì?
Active Directory – một triển khai dịch vụ thư mục. Cung cấp tất cả các loại chức năng như xác thực, quản lý nhóm và người dùng. Ngoài ra còn quản trị chính sách và hơn thế nữa.
Active Directory (AD) hỗ trợ cả Kerberos và LDAP – Microsoft AD. Là hệ thống dịch vụ thư mục phổ biến nhất được sử dụng hiện nay. AD cung cấp Single-SignOn (SSO) và hoạt động tốt trong văn phòng và qua VPN. AD và Kerberos không phải là nền tảng chéo. Đó là một trong những lý do các công ty đang triển khai phần mềm quản lý truy cập để quản lý đăng nhập từ nhiều thiết bị và nền tảng khác nhau ở một nơi. AD không hỗ trợ LDAP. Có nghĩa là nó vẫn có thể là một phần của sơ đồ quản lý truy cập tổng thể.
Active Directory chỉ là một ví dụ về dịch vụ thư mục hỗ trợ LDAP. Ngoài ra còn có các hương vị khác: Red Hat Directory Service, OpenLDAP, Apache Directory Server, v.v.
3. LDAP so với Active Directory
LDAP là cách nói chuyện với Active Directory. LDAP là một giao thức mà nhiều dịch vụ thư mục và giải pháp quản lý truy cập khác nhau có thể hiểu được.
Mối quan hệ giữa AD và LDAP giống như mối quan hệ giữa Apache và HTTP:
- HTTP là một giao thức web.
- Apache là một máy chủ web sử dụng giao thức HTTP.
- LDAP là một giao thức dịch vụ thư mục.
Active Directory là một máy chủ thư mục sử dụng giao thức LDAP. Thỉnh thoảng, sẽ nghe nói rằng, chúng tôi không có Active Directory, nhưng chúng tôi có LDAP. Nghĩa là họ có một sản phẩm khác. Chẳng hạn như OpenLDAP, đó là máy chủ LDAP. Giống như một người nào đó nói rằng chúng tôi có HTTP. Khi đó ý nghĩa thực sự là “chúng tôi có một máy chủ web Apache”.
4. Xác thực LDAP là gì?
Có hai tùy chọn để xác thực LDAP trong LDAP. Là V3 – Simple và SASL (Lớp xác thực đơn giản và lớp bảo mật).
Simple authentication cho phép ba cơ chế xác thực có thể:
Xác thực ẩn danh: Cấp trạng thái ẩn danh của khách hàng cho LDAP.
Xác thực không được xác thực: Chỉ dành cho mục đích ghi nhật ký. Không nên cấp quyền truy cập cho khách hàng.
Xác thực tên / mật khẩu: Cấp quyền truy cập vào máy chủ dựa trên thông tin đăng nhập được cung cấp. Xác thực người dùng / mật khẩu đơn giản. Không an toàn và không phù hợp để xác thực mà không có bảo vệ bí mật..
Xác thực SASL liên kết máy chủ LDAP với một cơ chế xác thực khác như Kerberos. Máy chủ LDAP sử dụng giao thức LDAP để gửi tin nhắn LDAP đến dịch vụ ủy quyền khác. Điều đó khởi tạo một loạt các thông báo phản hồi thách thức. Dẫn đến xác thực thành công hoặc không xác thực được. Cần lưu ý là LDAP chuyển tất cả các tin nhắn đó dưới dạng văn bản rõ ràng. Vì vậy ai có trình thám thính mạng đều có thể đọc các gói. Cần thêm mã hóa TLS hoặc tương tự để giữ an toàn cho tên người dùng và mật khẩu của bạn.
5. Truy vấn LDAP là gì?
Truy vấn LDAP là một lệnh yêu cầu một dịch vụ thư mục cung cấp một số thông tin. Chẳng hạn, nếu muốn xem một nhóm người dùng cụ thể nào, thì gửi một truy vấn giống như thế này:
(&(objectClass=user)(sAMAccountName=yourUserName) (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
Trong hầu hết các trường hợp, không cần viết các truy vấn LDAP. Để duy trì sự giản đơn, bạn sẽ thực hiện tất cả các tác vụ dịch vụ thư mục của mình. Bằng cách thông qua giao diện quản lý như Varonis DatAdvantage. Hoặc có thể sử dụng trình dòng lệnh như PowerShell để tóm tắt các chi tiết của giao thức LDAP.
Source: https://www.varonis.com/blog/the-difference-between-active-directory-and-ldap/