幾十年來,LDAP 作為使用者管理、身份驗證和授權平台一直是許多企業 IT 基礎架構中的核心組成。但随着 IT 資源的種類激增,新的身份驗證協定也接踵而至, LDAP 伺服器也不再是企業首選的身份驗證平台。盡管如此,企業仍然希望能夠使用 LDAP 服務。是以,IT 和系統管理者也在尋找能夠替代 LDAP 的理想方案。
在分析 LDAP 的替代方案之前,首先有必要了解 LDAP 在今天的 IT 環境中具有哪些重要意義。
1. 為什麼選擇 LDAP?
随着企業發展,即便目前的使用者數量不多,最終還是需要一個管理使用者以及 IT 資源的系統。而身份和通路管理(IAM)通常是大多數企業的核心使用者管理系統,也是重要的基礎架構元件,隻是企業可能并不希望在 IAM 上投入太多時間。 大多數企業也已經意識到比起建立内部的使用者管理系統,創新産品服務更重要,是以企業中存在越來越多的移動及雲上業務,加之 Mac、Linux 終端和伺服器的應用,企業為員工在微軟 Active Directory (AD)等目錄服務中建立賬号以後無法管控員工對這些創新産品和服務的通路。
當企業認識到這一點時,就會采用 LDAP 和其開源平台 OpenLDAP 作為對 AD 等目錄服務或核心身份源的補充。在手動管理賬号階段,企業可能已經共享了 root 密碼、腳本來建立和管理伺服器上的使用者,或者使用 Chef 或 Puppet 等使用者管理系統。這些方法不僅耗時,而且最終管理負擔也會積少成多。是以,LDAP 逐漸成為一種更有效的身份管理方案。
2. 運作LDAP 服務的挑戰
雖然 LDAP 目錄服務将管理者從手動管理中解放出來,但在企業内具體實施 LDAP 的過程依然很困難。LDAP 實際上是一個資料庫,是以系統配置也非常耗時。再加上雲計算、安全性、自動化等因素,部署會變得更加複雜。此外,将所有雲伺服器與 LDAP 目錄伺服器對接需要配置相應端口、網絡路由并設定權限。
配置 LDAP 目錄服務還要考慮可用性。由于 LDAP 負責存儲企業伺服器等裝置和應用的身份認證資料,一旦停機就會導緻所有業務系統或應用無法通路。
此外,使用者預配和取消預配在很大程度上也變成了手動過程。管理者需要進入 LDAP 伺服器建立使用者賬号并授予适當權限,然後将臨時密碼在郵件中發送給使用者,提醒使用者登入後更改密碼。如果企業系統登入使用的是密鑰,管理者還需要詢問使用者登入的公鑰,然後在使用者預配時将公鑰插入 LDAP 目錄服務中。
如果能讓 LDAP 伺服器的配置和運作保持簡單的狀态,并且基礎架構中沒有太多新使用者或伺服器的更改,那麼 LDAP 的運維還能持續下去。一旦有新增使用者、伺服器、裝置、應用或雲計算平台,管理 LDAP 就會更加困難。更糟糕的是,原本就忙碌的運維和 IT 人員還有多少時間可以花在 LDAP 伺服器的管理上?
3. 身份目錄即服務——LDAP 的理想替代
所幸,LDAP 服務有理想的替代方案,無需手動管理配置。它就是身份目錄即服務(DaaS) ,一個基于标準 LDAP 協定的雲身份目錄,支援 Windows、Mac 和 Linux 等跨系統使用者管理,能夠快速同步新使用者,并快速配置設定給使用者相應資源的通路權限,全程簡單、輕松快捷。終端使用者甚至可以上傳 SSH 公鑰,系統會自動分發到使用者有通路權限的伺服器。
從最終的實施效果來看,管理者無需管理 LDAP 伺服器,無需追蹤密碼或密鑰,更重要的是能有效防範入侵破解。
為了完善使用者管理流程,DaaS 會追蹤登入 IT 資源的使用者通路情況,驗證使用者身份、審計登入時間、地點等資訊。在網絡釣魚攻擊和憑證竊取肆虐的時代,這些安全功能是 LDAP 無法提供的,但又是運維和 IT 管理者的關鍵任務,畢竟使用者建立和資料存儲隻是使用者管理的一小部分,這些通路控制和登入審計才是重頭戲。DaaS 可以将這些安全功能實作自動化,管理者無需檢視日志、過濾關鍵活動的資訊,也無需跟進風險警報。
進入雲計算時代後,基于 SaaS 的解決方案和運維方法已成為主流,企業可以采用最新的身份目錄即服務平台安全管理使用者,作為 LDAP 等傳統解決方案的有效替代。
![1.6 Linux指令行使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)