市面上可选的 LDAP 目录服务器数量众多,宣传也各有特色,让人眼花缭乱,在这种情况下要想冷静思考并选择合适的方案并不容易。
但是对企业来说,正确选择 LDAP 目录服务器又是至关重要的,只是现在除了传统的本地服务器之外,管理员又多了一种新的选项——基于云的 LDAP 目录服务器。它基于 SaaS,可以很好地替代传统的本地目录服务器。因此,企业在选择 LDAP 方案时,首先就需要确定是在本地还是在云上部署。
归根到底,选择哪种 LDAP 服务器方案还是取决于企业的核心需求。为此,本文将重点介绍企业可选择的几种 LDAP 目录服务器方案,以及决策时要考虑哪些需求。
1. 有哪些适合企业的 LDAP 目录服务器方案?
1)OpenLDAP
OpenLDAP 可能是市场上使用最多的 LDAP 开源目录服务器。虽然 RedHat 曾出于营收考虑决定停用 OpenLDAP,但这个活跃的平台中最终还是经受住了时间的考验。
OpenLDAP 的运行主要依靠命令行,因此部署时对于管理员的专业背景要求较高。此外,OpenLDAP在实施后还需要 IT 工程师持续运维,所以更适合经验丰富的 IT 人员采用。
OpenLDAP 的优点在于其高度可扩展性,被很多全球性的大型企业使用。
2)Apache 目录服务器
Apache 目录服务器支持 Kerberos 协议,也是比较常用的 LDAP 服务器,主要优势在于 Apache Directory Studio 的强大管理能力,以及存储过程和触发器的运行能力。
Apache 结合基于 Eclipse 的 LDAP 浏览器后在使用和运维方面还能进一步提升。
3)389 目录服务器(原 Fedora 目录服务器)
389 目录服务器是由 RedHat 运行的高性能 LDAP 服务器。RedHat 和 SUSE 放弃开发 OpenLDAP 后,转而使用 389 目录服务器,并使用自研版本的 LDAP 协议。
4)云目录服务(DaaS)
云目录服务采用标准 LDAP 协议,面向应用及操作系统等提供标准 LDAP V3服务,存储目录信息,并响应 LDAP 的访问请求。云目录服务具有很好的开放性,开箱即用,无需部署,轻量化运维减轻 IT 管理员的负担,适合所有类型管理员,符合现代 IT 环境下对目录的需求。
2. LDAP 应该满足哪些要求?
上文提到的4种 LDAP 目录服务器各有千秋。要进一步推进决策,企业可以创建关键需求列表。下面列举了3点值得企业考虑的建议,但仅供参考。实际情况下,企业往往还需要考虑很多其他因素。
1)部署在本地还是云上?
企业首先需要确认是 LDAP 目录服务器是部署在本地还是选择外包的基于SaaS 的 LDAP 目录服务。后者的优势在于服务器的运维和管理都由厂商承担,企业不必担心扩展、可用性和安全性等问题。
2)哪些 IT 资源需要 LDAP 身份验证?
企业要考虑的第二个问题是哪些 IT 资源需要接入 LDAP 目录服务器。如果涉及不同系统的设备和多类型的应用,就要对资源接入的难度做好心理准备。
3)LDAP 目录服务器是否作为核心身份源?
企业要考虑的第三点是 LDAP 服务器是作为系统的核心身份源(IdP),还是要对接其他身份源,比如微软的 Active Directory。不同身份系统之间的集成可能很复杂,并且需要适当的技术资源。身份系统的集成必须具备一定的抗压能力,以防连接断开导致用户停机。
上述3点只是企业选择 LDAP 目录服务器时可能涉及的部分需求。企业在实际决策中应该全面考虑技术层面的需求,条件允许的话可以试用每种方案,其中云目录服务方案无需配置本地服务器,可以快速完成测试。
3. 简单高效的 LDAP 目录服务
基于云的 LDAP 目录服务器最终是为了减轻企业内部繁重的目录服务运维工作,本质上只是云目录平台的其中一个组成部分,云目录平台才是核心身份源。
身份目录云包含类似微软 AD的 GPOs 策略管理系统,内置 RADIUS 认证、单点登录SSO能力,支持 SAML 等标准 SSO 协议实现 Web 应用的单点登录,也可通过 LDAP 协议实现启用遗留应用的单点登录,并连接到本地和云端的文件服务器,帮助企业集中认证和统一管理账号。