LDAP och Active Directory: Vad är skillnaden?

Active Directory är en Microsoft-produkt som används för att organisera IT-tillgångar såsom användare, datorer och skrivare. Den används i flertalet Microsoft Office-produkter och Microsoft Server-produkter.

Lightweight Directory Access Protocol (LDAP) är ett protokoll, det är inte en tjänst. LDAP används för kommunikation med olika typer av kataloger (även Active Directory).

Vad är Active Directory?

Microsoft skapar mycket IT-programvara såsom Windows, Windows Server, Exchange, Sharepoint med mera.

I en IT-miljö vill inte användare ha separata lösenord för varje app. Och IT-administratörer vill gruppera användarna och hantera tillgång av datorer och skrivare.

Active Directory skapades för att förenkla hanteringen av användare och datorer genom att lagra information om dem i en enda katalog.

Föreställ dig att jobba i ett företag utan en katalog:

  • Du måste ange ditt användarnamn och lösenord varje gång du loggar in på en app.
  • IT-administratörer måste manuellt tilldela dig varje app som du behöver använda.
  • Om du uppdaterar ditt lösenord eller ändrar ditt efternamn så måste det göras i varje app där du har ett konto.

En katalog är en central tjänst som samlar information om alla personer, datorer och andra tillgångar i en organisation. Där lagras också inloggningsuppgifter (såsom ditt användarnamn och lösenord) så att du kan autentiseras för alla appar som du använder.

I Active Directory sorteras tillgångarna i tre kategorier.

  1. Domäner: Användare (t.ex. anställda) och enheter (t.ex. datorer) som delar samma Active Directory-databas är en del av en domän. En domän hänger oftast samman med antingen ett företag eller en avdelning i ett företag, exempelvis "Teknisk domän".
     
  2. Träd: Träd definierar behörigheter mellan domäner och avgör vem som har tillgång till vad i en organisation där olika IT-administratörer kan hantera sina användare och datorer.
     
  3. Skog: För stora organisationer eller sammanslagna företag delas domänerna upp i skogar. Sammanslagna företag är typiskt ett resultat av ett företag som köper upp ett annat. Anställda i båda organisationerna behöver ha tillgång till varandras resurser.

Var och en av dessa nivåer har en unik behörighet för åtkomst och kommunikation.

Active Directory Tiers Diagram

Active Directory har också säkerhetsfunktioner såsom:

  • Autentisering. Användare måste kunna ange korrekta inloggningsdata innan de får tillgång till resurser i nätverket.
     
  • Säkerhetsgrupper. IT-administratörer delar upp användarna i grupper. Grupperna tilldelas sedan appar vilket minimerar administrationen.
     
  • Grupp-principer. Det finns ett stort antal principer i Active Directory som definierar vem som har fjärrtillgång till datorer eller får konfigurera säkerhetsinställningar i webbläsare.

Active Directory stöder ett antal sätt för autentisering av användare. Under tiden som det använts har Active Directory gett stöd för LAN Manager, NTLM och Kerberos. Varje gång har autentiseringsprotokollet utvecklats och blivit säkrare och mer användbart.

Den huvudsakliga uppgiften för Active Directory var att knyta samman all Microsoft-teknik så att användarna enkelt fick tillgång till resurser och administratörer säkert kunde definiera åtkomster.

Vad är LDAP?

LDAP är ett protokoll som togs fram för att appar snabbt skulle kunna få användarinformation på ett skalbart sätt. Det var idealiskt för sådant som telekommunikation och flygbranschen.

Active Directory utvecklades för storföretag med typiskt några få tusen anställda och datorer. LDAP var ett protokoll som utvecklades för appar som styrde trådlös kommunikation och de hanterade miljontals autentiseringar av telenätverkens användare.

LDAP är ett fristående protokoll. Active Directory implementerades faktiskt med LDAP-stöd för att ge LDAP-baserade appar möjlighet att arbeta med befintliga Active Directory-miljöer.

LDAP-protokollets primära uppgifter rör:

  • Katalogstruktur. Varje post i en katalog har attribut och kan kommas åt via ett unikt namn (DN) som används när en förfrågan skickas till katalogen.
     
  • Lägga till, uppdatera och läsa data. LDAP är optimerat för att snabbt söka och läsa data.
     
  • Autentisering. I LDAP "binder" du till tjänsten. Denna autentisering kan göras enkelt med användarnamn och lösenord, ett klientcertifikat eller ett Kerberos-token.
     
  • Söka. Ett område som LDAP är riktigt bra på är sökningar. Återigen så är LDAP-baserade servers typiskt avsedda för massivt med förfrågningar som oftast rör sökningar efter uppsättningar av data.

Hur kan LDAP och Active Directory jämföras?

LDAP är ett protokoll men leverantörer byggde kataloger där LDAP utgjorde den huvudsakliga metoden för kommunikation med katalogen. Därför kallas de ofta för LDAP-servers.

Servrarna användes i huvudsak för att lagra information om användare för en app. Det gör att de ibland kan jämföras med Active Directory. Detta skapade en viss förvirring där många undrade vilket som var bäst, en LDAP-server eller Active Directory?

Det finns inte något bra svar på detta eftersom jämförelsen egentligen inte kan göras. För många handlar därför frågan om något annat. Om Active Directory är ett bättre val som app-katalog än användning av Ping Identity Directory eller Oracle Internet Directory?

Vanligtvis är LDAP-servers lämpliga för storskaliga appar som t.ex. hanterar miljontals användare i en trådlös telekom-plattform.

LDAP är också lämpligt i situationer där man har många autentiseringar av användare. Ett tag hade Twitter en mycket stor LDAP-tjänst som hanterade användarautentisering.

På grund av dess utformning är inte Active Directory lämpligt för storskaliga implementeringar med en väldefinierad användargrupp. Skalbarheten är inte bra när en organisation är utspridd över många skogar och domäner.

Det finns Active Directory-implementeringar med hundratusentals användare men de hanteras alla i lokala domäner och skogar.

När Active Directory är överlägset

Active Directory gör sin huvuduppgift utmärkt, d.v.s. hanterar åtkomst av lokalt installerad Microsoft-baserad teknik såsom Windows-klienter, servers och SharePoint/Exchange.

Grupp-principer i Active Directory kan vara mycket effektiva för att skydda Windows-datorer tack vare den intima integrationen mellan domän-anslutna Windows-datorer och Active Directory. För LDAP-servers finns ingen motsvarighet till detta.

Vad passar bäst för din verksamhet?

På Okta stöder vi både Active Directory och LDAP. Fördelarna för respektive system beror på verksamhetens art.

Många av våra kunder har både Active Directory- och LDAP-servers i sina organisationer. Vi kan ansluta till båda och förena informationen till Okta Universal Directory.

Referenser

Active Directory Domain Services Overview, (maj 2017). Microsoft.

Understanding Active Directory, (mars 2018). Medium.

What Is Kerberos Authentication? (oktober 2009). Microsoft.

Configuring Active Directory for LDAP Authentication. IBM.

Active Directory Domain Services Overview, (maj 2017). Microsoft.

Understanding Active Directory, (mars 2018). Medium.

North Korean Hackers May Be Dabbing in Ransomware Again, (juli 2020). PC Magazine.

Report Finds Serious Flaws in COVID-19 Vaccine Developers' Systems, (juli 2020). xTelligent Healthcare Media.

LDAP and Active Directory. Active Directory 360.