ldap的协议是什么(现代IT环境中)
前几期文章已经介绍了轻量级目录访问协议(LDAP)的一些基础知识,帮助读者初步了解 LDAP 协议但随着现代身份管理环境中各种新的身份验证协议出现,LDAP 是否还能继续沿用成为很多人关心的又一个问题为此,本期将深入探究 LDAP 的一些常见用例,并展望其未来发展方向——基于云的 LDAP 即服务,今天小编就来聊一聊关于ldap的协议是什么?接下来我们就一起去研究一下吧!
ldap的协议是什么
前几期文章已经介绍了轻量级目录访问协议(LDAP)的一些基础知识,帮助读者初步了解 LDAP 协议。但随着现代身份管理环境中各种新的身份验证协议出现,LDAP 是否还能继续沿用成为很多人关心的又一个问题。为此,本期将深入探究 LDAP 的一些常见用例,并展望其未来发展方向——基于云的 LDAP 即服务。
1. LDAP 常见用例回到开头的问题,LDAP 究竟适用哪些场景?虽然 LDAP 属于遗留协议的一种,但在验证 Linux 应用以及许多开源解决方案时的表现仍然非常出色。通过 LDAP 进行身份验证的用例包括:
- OpenVPN
- Jenkins
- Kubernetes
- Docker
- Atlassian Jira & Confluence
- Linux Samba 服务器和商用分布式网络附属存储(NAS)设备,如 Synology 或 QNAP
从上述列表可以看出,LDAP 依然用途广泛,目前有数千个附加应用可以使用 LDAP 进行集成。
2. 在多协议环境中使用 LDAP第二个问题,在现代 IT 环境中,企业可以如何应用 LDAP?由于每个 IT 资源似乎都有各自倾向的协议,结果就导致企业需要使用各种身份验证协议,除了 LDAP 以外还包括 SAML、RADIUS、OAuth 等。更深层次的影响就是管理员和开发运维工程师需要实现每个协议。这种现象被称为“身份管理孤岛”,大大增加了管理的时间成本。
上述协议中并没有哪个协议完全独占,因此企业应采用可以管理多协议的身份和访问管理方案。本文的最后就将讨论企业如何通过支持多协议的单一平台统一管理 IT 资源。
3. LDAP 的影响LDAP 在诞生之初就引起了不小的轰动,并迅速传播到世界各地,为企业提供开源和非商业化的目录。此外,LDAP 还提供了一种管理开源 Linux 集群的方式,Linux 集群是90年代中期互联网快速扩展的技术基础。而 LDAP 可以模仿 SuSe Linux 和 HP-UX,作为后者低成本、轻量级和开源的替代方案。
当时微软 Active Directory 是基于 Windows 的首选本地目录方案,但 LDAP 随着服务器、Linux/Unix 应用、网络设备、文件服务器等开发运维基础设施的不断发展而大量铺开。
4. LDAP 与 IT 转型过去十年,亚马逊 AWS、谷歌 G Suite、微软 Office 365、Web 应用、Samba 文件服务器/NAS 设备、WiFi无线网络、苹果macOS 和 Linux 系统等云基础设施陆续加入,给IT 环境带来了巨大变化。IT 环境变化的同时,大量身份验证协议也层出不穷,从 SAML、OAuth 到 OpenID Connect 等等。IT 环境的转变过程中,像 LDAP 这样的遗留协议很容易被遗忘,但总体来看,LDAP 一直都在投入使用,甚至包括现代云原生企业也在使用。简单来说,LDAP 如此坚挺的原因和最初流行的原因是一样的——轻量化、自适应性和基础性。当然,使用惯性也是一个重要因素。有些企业即便想摆脱 LDAP,用户和管理员也不愿意,因为 LDAP 早已和企业的基础设施深度融合,密不可分了。
5. LDAP 的发展方向如果企业还未开始实施 LDAP,通常也不希望只为几个应用部署完整的 LDAP 基础架构。但是,企业也很清楚将应用和基础设施连接到 LDAP 的重要性。LDAP-as-a-Service,简称 LDAP 即服务,它的出现是为了解决构建专用 LDAP 基础设施的问题。LDAP 即服务可以看作是一种云目录服务,负责将用户安全连接到企业 IT 资源,包括系统、应用、文件和网络。这种云目录服务同时也是身份提供程序,不受平台、协议、设备厂商和位置的影响。例如宁盾身份目录服务器即是以 LDAP 协议为主的身份目录,NingDS 则是基于公有云提供服务的 DaaS 身份目录即服务平台,它能帮助企业统一管理人员、终端、网络、应用、多云的接入和认证,让员工、外包人员、供应商、合作伙伴等使用合规的终端都能快捷方便地访问企业云上、云下资源。 利用云目录服务的优势可以总结为以下几点:
- 安全性:LDAPS 和 Start TLS 确保数据传输安全
- 标准性:基于标准 LDAP 的模式和目录结构
- 高可用性:包括自动负载平衡、弹性扩展和冗余
- 无需本地服务器:省去配置管理步骤
- 低延迟:区域负载平衡保障高性能
- 可扩展用户属性:包括员工 ID、职位、部门、位置等
- 组成员资格:利用 groupOfNames 和 memberOf 对象类满足授权需求
免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com
