LDAP und Active Directory: Was ist der Unterschied?

Active Directory ist ein Microsoft-Produkt zum Organisieren von IT-Assets wie Benutzer, Computer und Drucker. Es lässt sich in die meisten Microsoft Office- und Serverprodukte integrieren.

Lightweight Directory Access Protocol (LDAP) ist ein Protokoll, kein Dienst. LDAP wird zum Kommunizieren mit und Abfragen von unterschiedlichen Verzeichnistypen verwendet (darunter auch Active Directory).

Was ist ein Active Directory (AD)?

Microsoft bietet eine breite Palette von IT-Software, darunter Windows-Desktopanwendungen, Windows Server, Exchange, SharePoint usw.

In der IT-Umgebung möchten Benutzer nicht für jede Anwendung, die sie aufrufen, ein eigenes Passwort eingeben. IT-Administratoren wiederum möchten in der Lage sein, Personen zu gruppieren und deren Zugriff auf Computer und Drucker zu verwalten.

Active Directory wurde entwickelt, um die Verwaltung von Benutzern und Computern zu vereinfachen, indem Informationen zu ihnen in einem einzigen Verzeichnis gespeichert werden.

Stellen Sie sich das Arbeiten in einem Unternehmen ohne Verzeichnis vor:

  • Sie müssten für jede einzelne Anwendung einen Benutzernamen und ein Passwort angeben.
  • IT-Administratoren müssten Sie jeder einzelnen Anwendung, auf die Sie zugreifen möchten, manuell zuweisen.
  • Wenn Sie Ihr Passwort aktualisieren oder Ihren Nachnamen ändern wollten, müssten Sie die Änderung in jeder Anwendung vornehmen, für die Sie ein Konto besitzen.

Das Verzeichnis fasst in einem zentralen Dienst alle Informationen zu Benutzern, Computern und weiteren Assets im Unternehmen zusammen. In dem Verzeichnis werden auch Anmeldeinformationen (z. B. Ihr Benutzername und Ihr Passwort) gespeichert, sodass Sie bei allen von Ihnen genutzten Anwendungen authentifiziert werden können.

In Active Directory werden Assets einer von drei Ebenen zugeordnet.

  1. Domänen: Benutzer (z. B. Mitarbeiter) und Geräte (z. B. Computer), die derselben Active Directory-Datenbank angehören, sind Teil einer Domäne. Eine Domäne wird in der Regel mit einem Unternehmen oder einer Einheit im Unternehmen verknüpft, z. B. mit der „Entwicklungsdomäne“.
     
  2. Strukturen: Strukturen definieren die Vertrauensstellung zwischen den Domänen und bestimmen auf diese Weise, wer Zugriff auf welche Inhalte in den verschiedenen Unternehmensbereichen erhält. IT-Administratoren können mithilfe von Strukturen ihre eigene Community aus Benutzern und Geräten verwalten.
     
  3. Gesamtstrukturen: Bei großen Unternehmen oder für Beziehungen zwischen Unternehmen werden Domänen einer Gesamtstruktur zugeordnet. Die gesamtstrukturübergreifende Vertrauensstellung wird in der Regel erstellt, wenn ein Unternehmen ein anderes übernommen hat und die Mitarbeiter beider Unternehmen auf die Ressourcen des jeweils anderen zugreifen können müssen.

Jede dieser Ebenen verfügt über eigene Zugriffsrechte und Kommunikationsberechtigungen.

Active Directory Tiers Diagram

Active Directory beinhaltet auch Sicherheitsfunktionen, darunter:

  • Authentifizierung: Benutzer müssen die relevanten Anmeldeinformationen angeben, um auf Ressourcen im Netzwerk zugreifen zu können.
     
  • Sicherheitsgruppen: IT-Administratoren ordnen Benutzer bestimmten Gruppen zu. Diese Gruppen werden anschließend Anwendungen zugewiesen, um den Administrationsaufwand zu minimieren.
     
  • Gruppenrichtlinie: In Active Directory gibt es eine Vielzahl von Richtlinien, die definieren, wer remote auf Computer zugreifen oder Sicherheitseinstellungen für Browser konfigurieren darf.

Active Directory unterstützt verschiedene Arten der Benutzerauthentifizierung. Seit Bestehen von Active Directory wurden LAN Manager, NTLM und Kerberos unterstützt. Das Authentifizierungsprotokoll wurde kontinuierlich weiterentwickelt, um Benutzerfreundlichkeit und Sicherheit zu optimieren.

Der wesentliche Zweck von Active Directory ist die Zusammenführung aller Microsoft-Technologien, damit Benutzer leichter auf Ressourcen zugreifen und Administratoren den Benutzerzugriff sicher und zuverlässig definieren können.

Was ist LDAP?

Das Protokoll LDAP wurde für Anwendungen entwickelt, um das schnelle Abfragen großer Mengen an Benutzerdaten zu ermöglichen, und war damit beispielsweise ideal für Unternehmen der Telekommunikations- oder Luftfahrtindustrie geeignet.

Active Directory ist auf Unternehmen mit einigen Tausend Mitarbeitern und Computern ausgelegt. Das LDAP-Protokoll hingegen wurde für Anwendungen entwickelt, die es etwa Netzbetreibern ermöglichten, Millionen von Anfragen zur Authentifizierung der Abonnenten im Mobilfunknetz zu verarbeiten.

LDAP ist ein produktagnostisches Protokoll. Active Directory bietet LDAP-Unterstützung, damit LDAP-basierte Anwendungen in einer vorhandenen Active Directory-Umgebung funktionieren.

Als Protokoll wird LDAP vorrangig für folgende Zwecke eingesetzt:

  • Verzeichnisstruktur: Jeder Eintrag im Verzeichnis besitzt Attribute und ist über einen eindeutigen definierten Namen (DN) aufrufbar, der beim Abfragen des Verzeichnisses verwendet wird.
     
  • Hinzufügen, Aktualisieren und Lesen von Daten: LDAP wurde für das schnelle Durchsuchen und Lesen von Daten optimiert.
     
  • Authentifizierung: In LDAP wird eine „Bindung“ zum Dienst hergestellt. Die Authentifizierung kann schlicht auf Benutzername und Passwort basieren oder aber auf einem Clientzertifikat oder einem Kerberos-Token.
     
  • Suche: Die Suche ist ein Bereich, den LDAP einwandfrei beherrscht. LDAP-basierte Server sind in der Regel auf Massenabfragen ausgelegt. Dabei wird normalerweise nach Datensets gesucht.

LDAP und Active Directory im Vergleich

LDAP ist zwar ein Protokoll, allerdings wird es von Verzeichnisanbietern häufig als primäres Kommunikationsmittel für das Verzeichnis genutzt. In diesem Zusammenhang spricht man auch von LDAP-Servern.

Die Server wurden hauptsächlich als Speicher für Informationen über die Benutzer einer Anwendung verwendet. Folglich werden sie manchmal mit Active Directory verglichen, was wiederum zu Missverständnissen führt. Daher fragen sich viele, ob ein LDAP-Server oder Active Directory die bessere Wahl sei.

Darauf gibt es jedoch keine pauschale Antwort, da beides so nicht vergleichbar ist. Die Frage müsste eher lauten:Ist Active Directory die bessere Wahl für ein Anwendungsverzeichnis oder bieten sich Ping Identity Directory oder Oracle Internet Directory eher an?

In der Regel eignen sich LDAP-Server für sehr große Implementierungen. Ein Beispiel dafür sind die millionenfachen Abonnentenabfragen, wie sie auf den Plattformen der Mobilfunkanbieter verarbeitet werden.

LDAP ist auch dann eine gute Wahl, wenn sehr viele Benutzerauthentifizierungen stattfinden. Twitter nutzte zeitweilig einen sehr umfangreichen LDAP-Dienst für die Authentifizierung seiner Benutzer.

Aufgrund seines Designs ist Active Directory nicht für sehr große Implementierungen mit nur einer Benutzer-Community geeignet. Active Directory lässt sich jedoch sehr gut skalieren, sofern das Unternehmen auf mehrere Gesamtstrukturen und Domänen verteilt ist.

Es existieren zwar Active Directory-Implementierungen mit Hunderttausenden von Benutzern, aber sie werden alle in lokalisierten Domänen und Gesamtstrukturen verwaltet.

Die Hauptaufgabe von einem Active Directory

Seine Kernaufgabe beherrscht Active Directory aus dem FF. Diese besteht darin, den Zugriff auf lokale Microsoft-basierte Technologie zu verwalten, darunter Windows-Clients, Windows-Server sowie SharePoint und Exchange.

Aufgrund der engen Integration zwischen mit der Domäne verknüpften Windows-Computern und Active Directory kann sich die Gruppenrichtlinie in Active Directory beim Sichern von Windows-Computern als sehr effektiv erweisen. LDAP-Server bieten diesbezüglich keine gleichwertige Funktionalität.

Was ist die bessere Wahl für Ihr Unternehmen?

Okta bietet Unterstützung für Active Directory- und LDAP-Umgebungen. Das Beste beider Welten ist für manche Unternehmen genau richtig.

Viele unserer Kunden haben in ihrem Unternehmen sowohl Active Directory- als auch LDAP-Server. Wir stellen zu beiden eine Verbindung her und fassen die Informationen in unserem Okta Universal Directory zusammen.

Referenzen

Active Directory Domain Services Overview, Microsoft, Mai 2017.

Understanding Active Directory, Medium, März 2018.

What Is Kerberos Authentication?, Microsoft, Oktober 2009.

Configuring Active Directory for LDAP Authentication,IBM.

Active Directory Domain Services Overview, Microsoft, Mai 2017.

Understanding Active Directory, Medium, März 2018.

North Korean Hackers May Be Dabbling in Ransomware Again, PC Magazine, Juli 2020.

Report Finds Serious Flaws in COVID-19 Vaccine Developers' Systems, xTelligent Healthcare Media, Juli 2020.

LDAP and Active Directory (LDAP und Active Directory), Active Directory 360.