選擇 OpenLDAP 的主要原因是什么？

許多企業(yè)選擇 OpenLDAP 是因?yàn)槠涓`活，還能節(jié)約成本。對于熟練的工程師來說，OpenLDAP 是高度可配置的，對于具有小眾或細(xì)微需求的企業(yè)來說是個更好的選擇。

此外，它與幾乎所有平臺或操作系統(tǒng)兼容，而 AD 適配 Windows 設(shè)備。使用或計(jì)劃使用 Mac、Linux 或其他系統(tǒng)的企業(yè)往往會選擇 OpenLDAP。擁有遺留應(yīng)用程序或基于 Linux 的應(yīng)用程序的企業(yè)通常也會選擇 OpenLDAP。

什么情況下使用 Active Directory ？

如果您的IT環(huán)境是完全同類的并且僅基于 Microsoft 和 Windows系統(tǒng)，那么 AD 會是最佳選擇。在 Windows 環(huán)境中，IT 管理員可以使用基于 Windows 的 Active Directory 用戶和計(jì)算機(jī)控制臺來執(zhí)行幾乎所有的管理任務(wù)。但是，即使在這些環(huán)境中，企業(yè)仍然需要考慮如何利用移動和 SaaS 應(yīng)用程序、Mac 和 Linux 設(shè)備支持、非 Windows 文件服務(wù)器和網(wǎng)絡(luò)設(shè)備，因?yàn)?AD 通常在沒有附加工具的情況下無法與這些資源集成。

AD 提供容易上手的 GUI，用于配置、設(shè)置以及管理用戶和組。對于在配置開源軟件方面經(jīng)驗(yàn)不足的人來說，OpenLDAP 缺乏接口這一點(diǎn)可能是個棘手之處，這樣一來 AD 成了更好的選擇。

雖然 OpenLDAP 和 LDAP 協(xié)議先于微軟進(jìn)入目錄服務(wù)領(lǐng)域，但微軟 AD 已經(jīng)獲得了最大的市場份額——盡管隨著云目錄的出現(xiàn)，IAM 格局開始發(fā)生變化。結(jié)合對用戶更友好的工具套件，AD對于以 Windows/Azure 為中心的企業(yè)來說是個極具吸引力的選擇。

AD 比 LADP 提供更多的協(xié)議，而 OpenLDAP 是 LDAP 專有的。隨著網(wǎng)絡(luò)覆蓋范圍的擴(kuò)大和分散，多協(xié)議目錄服務(wù)越來越受歡迎；公司需要對用戶進(jìn)行身份驗(yàn)證以獲取更多、更廣泛的資源，而不同的資源結(jié)合不同的協(xié)議往往工作效果最佳。

在高度依賴云應(yīng)用的環(huán)境下，SAML 和 SSO 解決方案更適合使用。在這種情況下，AD 和 OpenLDAP 都需要額外的身份和訪問管理工具。理想情況下，無論用戶身在何處（包括云），IAM 工具或目錄服務(wù)應(yīng)能夠使用最合適的協(xié)議對用戶進(jìn)行身份驗(yàn)證和授權(quán)，以訪問所有 IT 資源。這是 OpenLDAP 和 AD 都不足的一個領(lǐng)域。

AD 和 OpenLDAP 的不足之處

在許多情況下，AD 和 OpenLDAP 都不是企業(yè)身份管理基礎(chǔ)設(shè)施的唯一正確選擇。盡管 OpenLDAP 和 AD 都有自己的支持者，但事實(shí)是它們是過時的系統(tǒng)，需要靠其他解決方案來完成企業(yè)的 IAM 架構(gòu)。

兩者都存在可用性問題。AD 雖然功能強(qiáng)大，但在使用 Azure AD 等附加組件擴(kuò)展以管理多樣化和分散的環(huán)境時會變得復(fù)雜。此外，雖然微軟似乎確實(shí)有興趣支持非 Windows 平臺，但與競爭對手的解決方案相比，微軟內(nèi)部更偏向于 Windows 和 Azure。

另一方面，OpenLDAP 的靈活性具有挑戰(zhàn)性，并且會給不太懂技術(shù)的人帶來麻煩。OpenLDAP 服務(wù)器配置會很復(fù)雜，并且很難跟上應(yīng)用程序的依賴項(xiàng)、修改目錄數(shù)據(jù)或schema，并隨著業(yè)務(wù)的變化和擴(kuò)展而保持目錄的完整性。此外，管理 OpenLDAP 基礎(chǔ)設(shè)施的簡單問題也有挑戰(zhàn)，尤其是越來越多的企業(yè)將技術(shù)管理轉(zhuǎn)移到云提供商和 SaaS 供應(yīng)商。

雖然 OpenLDAP 可以在云中工作，但它只使用 LDAP 協(xié)議。盡管 AD 使用 Kerberos 等其他協(xié)議，但它對云并不友好。為了與云集成，AD 需要像 Azure 這樣的復(fù)雜附加組件——但即使是 Azure 也不允許企業(yè)完全脫離本地目錄（沒有專門的按小時計(jì)費(fèi)的托管目錄用例，如 Azure AD域服務(wù)）。AD 還需要大量的附加組件和集成來管理非 Windows 設(shè)備。隨著世界都在向云端遷移，企業(yè)的設(shè)備和工具多樣化，應(yīng)用程序需要更專業(yè)的身份驗(yàn)證和授權(quán)協(xié)議，這些都是顯著的缺點(diǎn)。

由于這兩種解決方案都無法有效采用連接到用戶需要的所有資源所需的協(xié)議和云兼容性，因此都無法真正集中用戶管理。相反，兩者都可以在多功能 IAM 系統(tǒng)中充當(dāng)工具。這種去中心化的用戶管理系統(tǒng)會給 IT 團(tuán)隊(duì)帶來不一致性、安全漏洞和額外的管理工作。

更好的選擇：NingDS 云目錄平臺

為了解決分散的用戶管理系統(tǒng)、多操作系統(tǒng)、對云或混合云基礎(chǔ)設(shè)施中資源的認(rèn)證和授權(quán)訪問以及對多種協(xié)議的需求，許多公司正在轉(zhuǎn)向云目錄平臺。

借助基于云的目錄服務(wù)平臺，IT 管理員無需持續(xù)維護(hù)本地目錄，他們可以使用多協(xié)議、與操作系統(tǒng)無關(guān)的集中式用戶管理系統(tǒng)，該系統(tǒng)通常通過豐富的 GUI 進(jìn)行管理。

在考慮 AD、OpenLDAP 和云目錄平臺（三種最常見的目錄服務(wù)選項(xiàng)）時，重要的是要考慮您當(dāng)前的基礎(chǔ)設(shè)施以及企業(yè)發(fā)展方向。越來越多公司選擇將這三個結(jié)合到一個平臺上的云目錄服務(wù)。

若滿足以下條件，您的公司將更適合云目錄平臺：

擁有混合平臺，例如 Mac、Linux 和 Windows 計(jì)算機(jī)；使用 SaaS 應(yīng)用程序；使用云/混合云基礎(chǔ)設(shè)施或 IaaS，如 AWS、Google Workspace、GitHub、Dropbox 等；支持或計(jì)劃支持遠(yuǎn)程辦公、混合辦公或移動辦公。云目錄服務(wù)允許用戶從任何位置訪問相同的 IT 資源。

例如，借助 NingDS 云目錄平臺，IT 管理員可以將用戶身份連接到他們需要的 IT 資源，而不受平臺、提供商、協(xié)議或位置的影響。NingDS 使用與操作系統(tǒng)無關(guān)的多協(xié)議方法，因此您無需切換公司現(xiàn)有的身份驗(yàn)證解決方案、設(shè)備或當(dāng)前使用的應(yīng)用程序。它還包括移動設(shè)備管理 (MDM)，并通過豐富的 GUI 簡化目錄管理，GUI 為管理員提供命令行執(zhí)行選項(xiàng)。最后，您甚至可以將 AD 等現(xiàn)有目錄服務(wù)集成到 NingDS 中，這樣就無需放棄現(xiàn)有目錄從頭開始。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）