轻量级目录访问协议(LDAP)在90年代早期开发,用于验证需要访问本地资源的用户身份并授予该类用户访问权限。之后的几十年中,LDAP 已成为企业 IT 系统以及身份和访问管理 (IAM) 领域的核心组成部分,除了本地功能以外还扩展了基于云平台的新功能,同时为本地用户和远程用户启用 LDAP 身份验证。基于云的 LDAP 则是标准 LDAP 协议的实现方式之一。
本系列文章将介绍 LDAP 的相关基础知识,本期将介绍 LDAP 的基本概念、运行原理以及传统用例。下期文章将进一步深入到基于云的 LDAP、面临的挑战以及在现代 IT 架构中的作用。
1. 什么是 LDAP 协议?
1993 年,LDAP 最早是作为当时常用的 X.500 目录协议的轻量级版本而开发,主要针对 Unix 网络,但后来很快也在其他系统和网络上适用。LDAP 的概念也已经从最初的协议扩展到包括厂商配套的 LDAP 软件、服务器,以及最新的 LDAP 托管服务。
LDAP 并不是新产品,也可以说是历史悠久,但因其灵活性、稳定性和与特定应用的兼容性,目前仍然被广泛使用。而且在特定应用、存储系统、Linux 服务器等场景中仍然是首选协议。
2. LDAP 的运行原理
LDAP 协议将企业目录中的数据进行存储和索引以便其可被搜索,并且支持 LDAP 服务器与本地网络中的客户端、设备和用户进行通信。LDAP 中可进行添加、删除、修改和搜索 LDAP 目录信息,及身份验证和授权等操作。一旦用户输入了正确的用户名和密码,LDAP 就会对其进行身份验证并授权其访问各种 IT 资源,包括文件、应用、服务器、网络设备等支持 LDAP 的资源。
LDAP 将数据存储在名为目录信息树 (DIT) 的分层结构中,DIT 将数据编排成适用 LDAP 的分支结构,使管理员更容易检索,更好地处理用户访问策略。
3. 传统上如何使用和设置 LDAP?
从技术层面讲,LDAP 只是一种协议。而 LDAP 服务器这一新产品不仅包含 LDAP 协议,还将协议在软件中实例化,用于对 LDAP 客户端和终端用户的访问授权。在基于云的 LDAP 诞生之前,两大传统 LDAP 实例分别是 OpenLDAP 和微软 Active Directory。
1)OpenLDAP
OpenLDAP 开发于1998年,是 LDAP 的免费开源版本,也是至今仍在使用的历史最悠久的 LDAP 实例之一。OpenLDAP 作为一个高度集中的软件,无论是用户界面还是附加协议都并不丰富,另外还要求企业对自己的目录服务器进行托管、配置和管理。手动配置企业目录的优势在于灵活性、不挑平台,缺点则是难以管理。
OpenLDAP 的工具匮乏和对 IT 人员的巨大需求促使一些企业寻求更强大的目录服务。于是,微软 Active Directory 成为不少企业多年来经常选择的方案。
2)微软 Active Directory
进入云计算时代后,越来越多企业意识到 LDAP 的管理问题,部分企业正在寻找更适合云环境的解决方案,基于云的 LDAP 就是一种选择。下期文章将探讨企业在管理 LDAP 中遇到的困难以及如何使用基于云的 LDAP 解决这些问题,敬请期待~