LDAP versus Active Directory: wat is het verschil?

Active Directory is een Microsoft-product dat wordt gebruikt voor het ordenen van IT-assets, zoals gebruikers, computers en printers. Ook kan Active Directory worden geïntegreerd met de meeste Microsoft Office- en Server-producten.

Lightweight directory access protocol (LDAP) is een protocol, geen service. LDAP wordt gebruikt voor het communiceren met en het uitvoeren van query's op verschillende typen directory's (waaronder Active Directory).

Wat is Active Directory?

Microsoft maakt veel IT-software, van Windows-desktops tot Windows Server, Exchange, SharePoint, enzovoort.

In de IT-omgeving willen gebruikers geen afzonderlijk wachtwoord gebruiken voor elke applicatie die ze nodig hebben. En IT-beheerders willen mensen kunnen groeperen en de toegang tot computers en printers kunnen beheren.

Active Directory is gemaakt om het beheer van gebruikers en computers te vereenvoudigen door informatie over deze assets in één directory op te slaan.

Stelt u zich eens voor wat het betekent als u zou werken in een organisatie zonder directory:

  • U moet steeds voor elke applicatie een gebruikersnaam en een wachtwoord opgeven.
  • IT-beheerders moeten u handmatig toewijzen aan elke applicatie die u wilt gebruiken.
  • Als u uw wachtwoord bijwerkt of uw achternaam verandert, moet u deze gegevens aanpassen in elke applicatie waarvoor u een account heeft.

De directory zorgt ervoor dat alle informatie over mensen, computers en andere assets van de organisatie in een centrale service wordt samengevoegd. Daarnaast slaat de directory inloggegevens op (zoals uw gebruikersnaam en wachtwoord), zodat u kunt worden geauthenticeerd voor alle applicaties die u gebruikt.

In Active Directory worden de assets gesorteerd in één van de volgende drie lagen.

  1. Domeinen: gebruikers (zoals medewerkers) en devices (zoals computers) die dezelfde Active Directory-database delen, maken deel uit van een domein. Een domein is meestal gekoppeld aan een organisatie of een onderdeel van een organisatie, zoals het "Engineering-domein".
     
  2. Trees: trees definiëren de vertrouwensrelatie tussen domeinen, bepalen wie toegang heeft tot verschillende onderdelen van een organisatie en bieden IT-beheerders de mogelijkheid om een eigen groep gebruikers en devices te beheren.
     
  3. Forests: voor grote organisaties of intercompany-relaties worden domeinen gegroepeerd in forests. Een vertrouwensrelatie tussen forests wordt meestal ontwikkeld nadat een organisatie een andere organisatie heeft overgenomen. De werknemers van beide organisaties hebben immers toegang tot elkaars resources nodig.

Elk van deze niveaus heeft unieke toegangsrechten en communicatiebevoegdheden.

Active Directory Tiers Diagram

Active Directory biedt ook beveiligingsfunctionaliteiten, zoals:

  • Authenticatie. Gebruikers moeten de juiste inloggegevens opgeven voordat ze toegang krijgen tot resources in het netwerk.
     
  • Security groepen. IT-beheerders ordenen gebruikers in groepen. De groepen worden vervolgens toegewezen aan apps om de beheertaken zoveel mogelijk te beperken.
     
  • Groepspolicies. Active Directory heeft veel policies die kunnen worden gebruikt om te definiëren wie extern toegang tot computers heeft of wie de browserbeveiliging mag configureren.

Active Directory ondersteunt veel verschillende manieren om gebruikers te authenticeren. Zo biedt Active Directory ondersteuning voor LAN Manager, NTLM en Kerberos. In de loop van de jaren is het authenticatieprotocol steeds verder ontwikkeld om de bruikbaarheid en beveiliging te verbeteren.

Active Directory heeft als voornaamste doel alle Microsoft-technologieën samen te brengen, zodat gebruikers eenvoudig toegang tot resources kunnen krijgen en beheerders deze toegang veilig kunnen definiëren.

Wat is LDAP?

LDAP is een protocol dat is ontwikkeld om applicaties de mogelijkheid te bieden op snelle en schaalbare wijze informatie over gebruikers op te vragen. Het was ideaal voor sectoren zoals de telecommunicatie of de luchtvaart.

Active Directory is ontwikkeld voor enterprises met misschien een paar duizend werknemers en computers. LDAP is daarentegen ontwikkeld voor applicaties van draadloze providers die miljoenen authenticatieverzoeken voor telefoonabonnees moesten afhandelen.

LDAP is een productonafhankelijk protocol. Active Directory heeft zelfs LDAP-ondersteuning geïmplementeerd, zodat LDAP-applicaties in een bestaande Active Directory-omgeving kunnen werken.

Als protocol is LDAP voornamelijk gericht op:

  • Directorystructuur. Elke vermelding in de directory heeft attributen en is toegankelijk via een unieke distinguished name (DN) die wordt gebruikt wanneer er een query op de directory wordt uitgevoerd.
     
  • Toevoegen, bijwerken en lezen van data. LDAP is geoptimaliseerd voor het snel zoeken en lezen van data.
     
  • Authenticatie. LDAP werkt met een 'binding' aan de service. Deze authenticatie kan bestaan uit een eenvoudige combinatie van gebruikersnaam en wachtwoord, een clientcertificaat of een Kerberos-token.
     
  • Zoeken. Zoeken is het gebied waarin LDAP uitblinkt. Op LDAP gebaseerde servers zijn speciaal ontworpen voor het uitvoeren van grote hoeveelheden query's, meestal zoekopdrachten naar datasets.

Hoe verhouden LDAP en Active Directory zich tot elkaar?

LDAP is een protocol, maar leveranciers hebben directory's gebouwd waarbij LDAP het primaire communicatiemiddel met de directory is. Deze worden vaak LDAP-servers genoemd.

De servers worden voornamelijk gebruikt als opslagplaats voor informatie over de gebruikers van een applicatie. Om die reden worden ze vaak met Active Directory vergeleken. Dit kan verwarring veroorzaken als mensen zich afvragen wat beter is: een LDAP-server of Active Directory.

Maar omdat dit geen eerlijke vergelijking is, kan er ook geen goed antwoord op deze vraag worden gegeven. Eigenlijk zou de vraag anders moeten worden gesteld. Bijvoorbeeld of Active Directory de beste keus voor een applicatiedirectory is of dat Ping Identity Directory of Oracle Internet Directory beter zouden zijn.

LDAP-servers worden meestal gebruikt voor zeer grootschalige applicaties, bijvoorbeeld voor de miljoenen query's die op het abonneebestand van een platform voor draadloze telecommunicatie worden uitgevoerd.

LDAP is ook heel geschikt voor situaties waarin een groot aantal gebruikers moeten worden geauthenticeerd. Op een bepaald moment had Twitter ook een zeer grote LDAP-service voor de authenticatie van gebruikers.

Het ontwerp van Active Directory is daarentegen niet ideaal voor zeer grootschalige implementaties met één groep gebruikers. Active Directory is wel zeer geschikt voor een organisatie die is verspreid over meerdere forests en domeinen.

Er zijn Active Directory-implementaties met honderdduizenden gebruikers, maar deze worden allemaal beheerd in lokale domeinen en forests.

Waarin Active Directory uitblinkt

Active Directory is bijzonder goed in het uitvoeren van zijn kernactiviteit, namelijk het beheren van de toegang tot on-prem Microsoft-technologie, zoals Windows-clients, -servers en SharePoint/Exchange.

Een groepspolicy in Active Directory kan erg effectief zijn bij het beveiligen van Windows-computer dankzij de nauwe integratie tussen domain-joined Windows-computers en Active Directory. LDAP-servers hebben geen equivalent op dit gebied.

Wat is de beste keuze voor uw organisatie?

Bij Okta bieden we ondersteuning voor zowel Active Directory- als LDAP-omgevingen. Beide omgevingen bieden verschillende voordelen die bij de ene organisatie beter tot hun recht komen dan bij de andere organisatie.

Veel van onze klanten gebruiken zowel Active Directory- als LDAP-servers voor hun organisatie. We kunnen met allebei een verbinding tot stand brengen en de informatie samenvoegen in de Okta Universal Directory.

Referenties

Active Directory Domain Services Overview. (Mei 2017). Microsoft.

Understanding Active Directory. (Maart 2018). Medium.

What Is Kerberos Authentication? (Oktober 2009). Microsoft.

Configuring Active Directory for LDAP Authentication. IBM.

Active Directory Domain Services Overview. (Mei 2017). Microsoft.

Understanding Active Directory. (Maart 2018). Medium.

North Korean Hackers May Be Dabbing in Ransomware Again. (Juli 2020). PC Magazine.

Report Finds Serious Flaws in COVID-19 Vaccine Developers' Systems. (Juli 2020). xTelligent Healthcare Media.

LDAP and Active Directory. Active Directory 360.