LDAP、OpenLDAP和Active Directory的差別（下）

選擇 OpenLDAP 的主要原因是什麼？

許多企業選擇 OpenLDAP 是因為其更靈活，還能節約成本。對于熟練的工程師來說，OpenLDAP 是高度可配置的，對于具有小衆或細微需求的企業來說是個更好的選擇。

此外，它與幾乎所有平台或作業系統相容，而 AD 适配 Windows 裝置。使用或計劃使用 Mac、Linux 或其他系統的企業往往會選擇 OpenLDAP。擁有遺留應用程式或基于 Linux 的應用程式的企業通常也會選擇 OpenLDAP。

什麼情況下使用 Active Directory ？

如果您的IT環境是完全同類的并且僅基于 Microsoft 和 Windows系統，那麼 AD 會是最佳選擇。在 Windows 環境中，IT 管理者可以使用基于 Windows 的 Active Directory 使用者和計算機控制台來執行幾乎所有的管理任務。但是，即使在這些環境中，企業仍然需要考慮如何利用移動和 SaaS 應用程式、Mac 和 Linux 裝置支援、非 Windows 檔案伺服器和網絡裝置，因為 AD 通常在沒有附加工具的情況下無法與這些資源內建。

AD 提供容易上手的 GUI，用于配置、設定以及管理使用者群組。對于在配置開源軟體方面經驗不足的人來說，OpenLDAP 缺乏接口這一點可能是個棘手之處，這樣一來 AD 成了更好的選擇。

雖然 OpenLDAP 和 LDAP 協定先于微軟進入目錄服務領域，但微軟 AD 已經獲得了最大的市場佔有率——盡管随着雲目錄的出現，IAM 格局開始發生變化。結合對使用者更友好的工具套件，AD對于以 Windows/Azure 為中心的企業來說是個極具吸引力的選擇。

AD 比 LADP 提供更多的協定，而 OpenLDAP 是 LDAP 專有的。随着網絡覆寫範圍的擴大和分散，多協定目錄服務越來越受歡迎；公司需要對使用者進行身份驗證以擷取更多、更廣泛的資源，而不同的資源結合不同的協定往往工作效果最佳。

在高度依賴雲應用的環境下，SAML 和 SSO 解決方案更适合使用。在這種情況下，AD 和 OpenLDAP 都需要額外的身份和通路管理工具。理想情況下，無論使用者身在何處（包括雲），IAM 工具或目錄服務應能夠使用最合适的協定對使用者進行身份驗證和授權，以通路所有 IT 資源。這是 OpenLDAP 和 AD 都不足的一個領域。

AD 和 OpenLDAP 的不足之處

在許多情況下，AD 和 OpenLDAP 都不是企業身份管理基礎設施的唯一正确選擇。盡管 OpenLDAP 和 AD 都有自己的支援者，但事實是它們是過時的系統，需要靠其他解決方案來完成企業的 IAM 架構。

兩者都存在可用性問題。AD 雖然功能強大，但在使用 Azure AD 等附加元件擴充以管理多樣化和分散的環境時會變得複雜。此外，雖然微軟似乎确實有興趣支援非 Windows 平台，但與競争對手的解決方案相比，微軟内部更偏向于 Windows 和 Azure。

另一方面，OpenLDAP 的靈活性具有挑戰性，并且會給不太懂技術的人帶來麻煩。OpenLDAP 伺服器配置會很複雜，并且很難跟上應用程式的依賴項、修改目錄資料或schema，并随着業務的變化和擴充而保持目錄的完整性。此外，管理 OpenLDAP 基礎設施的簡單問題也有挑戰，尤其是越來越多的企業将技術管理轉移到雲提供商和 SaaS 供應商。

雖然 OpenLDAP 可以在雲中工作，但它隻使用 LDAP 協定。盡管 AD 使用 Kerberos 等其他協定，但它對雲并不友好。為了與雲內建，AD 需要像 Azure 這樣的複雜附加元件——但即使是 Azure 也不允許企業完全脫離本地目錄（沒有專門的按小時計費的托管目錄用例，如 Azure AD域服務）。AD 還需要大量的附加元件和內建來管理非 Windows 裝置。随着世界都在向雲端遷移，企業的裝置和工具多樣化，應用程式需要更專業的身份驗證和授權協定，這些都是顯著的缺點。

由于這兩種解決方案都無法有效采用連接配接到使用者需要的所有資源所需的協定和雲相容性，是以都無法真正集中使用者管理。相反，兩者都可以在多功能 IAM 系統中充當工具。這種去中心化的使用者管理系統會給 IT 團隊帶來不一緻性、安全漏洞和額外的管理工作。

更好的選擇：NingDS 雲目錄平台

為了解決分散的使用者管理系統、多作業系統、對雲或混合雲基礎設施中資源的認證和授權通路以及對多種協定的需求，許多公司正在轉向雲目錄平台。

借助基于雲的目錄服務平台，IT 管理者無需持續維護本地目錄，他們可以使用多協定、與作業系統無關的集中式使用者管理系統，該系統通常通過豐富的 GUI 進行管理。

在考慮 AD、OpenLDAP 和雲目錄平台（三種最常見的目錄服務選項）時，重要的是要考慮您目前的基礎設施以及企業發展方向。越來越多公司選擇将這三個結合到一個平台上的雲目錄服務。

若滿足以下條件，您的公司将更适合雲目錄平台：

擁有混合平台，例如 Mac、Linux 和 Windows 計算機；使用 SaaS 應用程式；使用雲/混合雲基礎設施或 IaaS，如 AWS、Google Workspace、GitHub、Dropbox 等；支援或計劃支援遠端辦公、混合辦公或移動辦公。雲目錄服務允許使用者從任何位置通路相同的 IT 資源。

例如，借助 NingDS 雲目錄平台，IT 管理者可以将使用者身份連接配接到他們需要的 IT 資源，而不受平台、提供商、協定或位置的影響。NingDS 使用與作業系統無關的多協定方法，是以您無需切換公司現有的身份驗證解決方案、裝置或目前使用的應用程式。它還包括移動裝置管理 (MDM)，并通過豐富的 GUI 簡化目錄管理，GUI 為管理者提供指令行執行選項。最後，您甚至可以将 AD 等現有目錄服務內建到 NingDS 中，這樣就無需放棄現有目錄從頭開始。

（本文來源于甯盾，僅供學習和參考，未經授權禁止轉載和複制。如欲了解更多内容，可前往甯盾官網部落格解鎖更多幹貨）

了解更多