Каковы различия между LDAP и Active Directory?

418

Каковы различия между LDAP и Active Directory?

голубоватый
источник

Ответы:

462

Active Directory - это система на основе базы данных, которая обеспечивает аутентификацию, каталог, политику и другие службы в среде Windows

LDAP (облегченный протокол доступа к каталогам) - это прикладной протокол для запроса и изменения элементов в поставщиках службы каталогов, таких как Active Directory, который поддерживает форму LDAP.

Краткий ответ: AD - это база данных служб каталогов, а LDAP - один из протоколов, которые вы можете использовать для общения с ней.

JohnFx
источник
111

LDAP - это стандарт, AD - это (проприетарная) реализация Microsoft (и многое другое). В Википедии есть хорошая статья, которая углубляется в специфику. Я нашел этот документ с очень подробной оценкой AD с точки зрения LDAP.

cdonner
источник
20
Спасибо за ссылки. Документ PDF, хотя и информативный, похоже, передает негативные настроения по отношению к Microsoft. Хотя я полагаю, что фактические утверждения верны, я нашел, что тон отвлекает, и это заставляет их звучать менее объективно. Просто мои 2 цента.
Марк Беннетт
7
Не совсем точный ответ. LDAP - это протокол доступа к серверу каталогов, а Microsoft AD - это реализация сервера каталогов.
Даниэль Бактиар
7
@Mark: анти-Microsoft настроения распространены в Европе и особенно в Германии, и это должно быть учтено в вашей интерпретации документа.
cdonner
@MarkBennett Из моего (очень быстрого) прочтения видно, что их выводы заключались в том, что у LDAP были проблемы с безопасностью, и на нее влияла политическая повестка дня, которая была направлена ​​не на безопасность, а на прибыль. Я думаю, что использование термина «отрицательный тон» является преуменьшением, но да, Уэйн Вернер, поэтому я также читаю документ!
Sijpkes
41

Облегченный протокол доступа к каталогам или LDAP - это основанная на стандартах спецификация для взаимодействия с данными каталога. Службы каталогов могут реализовывать поддержку LDAP для обеспечения взаимодействия между сторонними приложениями.

Active Directory - это реализация Microsoft службы каталогов, которая, помимо других протоколов, поддерживает LDAP для запроса своих данных.

Поддерживая LDAP, Active Directory предоставляет множество расширений и удобств, таких как истечение срока действия пароля и блокировка учетной записи.

Алан
источник
30

Краткое содержание

Active Directoryэто службы каталогов, реализованные Microsoft и поддерживающие Lightweight Directory Access Protocol(LDAP).

Длинный ответ

Во-первых, нужно знать, что есть Directory Service.

Служба каталогов - это программная система, которая хранит, организует и обеспечивает доступ к информации в каталоге операционной системы компьютера. В разработке программного обеспечения каталог представляет собой карту между именами и значениями. Это позволяет искать именованные значения, как словарь.

Для получения более подробной информации, прочитайте https://en.wikipedia.org/wiki/Directory_service

Во-вторых, как можно себе представить, разные поставщики реализуют всевозможные формы службы каталогов, что наносит вред совместимости нескольких поставщиков.

В-третьих, поэтому в 1980-х годах МСЭ и ИСО разработали набор стандартов - X.500 для служб каталогов, первоначально для поддержки требований к электронному обмену сообщениями между операторами и поиску сетевых имен.

В-четвертых, на основе этого стандарта разрабатывается облегченный протокол доступа к каталогам LDAP. Он использует стек TCP / IP и схему строкового кодирования протокола доступа к каталогам X.500 (DAP), что делает его более актуальным в Интернете.

Наконец, на основе этого стека LDAP / X.500 Microsoft внедрила современную службу каталогов для Windows, происходящую из каталога X.500, созданную для использования в Exchange Server. И эта реализация называется Active Directory.

Итак, в кратком изложении, Active Directoryэто службы каталогов, реализованные Microsoft и поддерживающие Lightweight Directory Access Protocol(LDAP).

PS [0]: Этот ответ копирует содержимое со страницы википедии, указанной выше.

PS [1]: Чтобы узнать, почему лучше использовать службу каталогов, а не только реляционную базу данных, прочитайте https://en.wikipedia.org/wiki/Directory_service#Comparison_with_relational_databases.

боб
источник
26

Active Directory - это не просто реализация LDAP от Microsoft, это лишь малая часть того, чем является AD. Active Directory - это (в упрощенном виде) сервис, который обеспечивает аутентификацию на основе LDAP с авторизацией на основе Kerberos.

Конечно, их реализации LDAP и Kerberos в AD не на 100% совместимы с другими реализациями LDAP / Kerberos ...

Брайан Ребейн
источник
24

Active directory - это поставщик службы каталогов, в котором вы можете добавить нового пользователя в каталог, удалить или изменить его, указать привилегии, назначить политику и т. Д. Он похож на телефонный справочник, где у каждого человека есть уникальный контактный номер. Каждая вещь в AD (Active Directory) рассматривается как объекты, и каждому объекту присваивается уникальный идентификатор (аналогично уникальному контактному номеру в телефонном справочнике).

Ldap - это протокол, специально разработанный для поставщиков услуг каталогов. Операционная система сервера Windows использует AD в качестве сервера каталогов, а AIX, являющаяся версией UNIX от IBM, использует сервер каталогов Tivoli. Оба они используют протокол LDAP для взаимодействия с каталогом.

Помимо протокола существуют LDAP-серверы и LDAP-браузеры.

Shrikanth
источник
5

активный каталог - это база данных службы каталогов для хранения организационных данных, политики, аутентификации и т. д., тогда как ldap - это протокол, используемый для связи с базой данных службы каталогов, которая является ad или adam.

манси
источник
5

LDAP находится на вершине стека TCP / IP и контролирует доступ к интернет-каталогам. Это не зависит от окружающей среды.

AD & ADSI - это оболочка COM для уровня LDAP, специфичная для Windows.

Вы можете увидеть объяснение Microsoft здесь .

D3vtr0n
источник
В объяснении Microsoft есть проблема. Цитата: Microsoft предоставляет Active Directory Service Interfaces (ADSI) для разработки клиентских приложений службы каталогов. ADSI состоит из модели службы каталогов и набора интерфейсов COM. Эти интерфейсы позволяют разрабатывать приложения доступа к службе сетевых каталогов. ADSI использует провайдера LDAP для связи с Active Directory. ADSI также может обращаться к Novell NetWare Directory Services. ADSI может взаимодействовать с различными службами каталогов, используя своих собственных поставщиков. --------- NetWare в отличие от AD или LDAP?
Пашуте
NDS - это протокол каталога, используемый Netware. На самом деле есть поставщик NDS для ADSI. msdn.microsoft.com/en-us/library/aa772204(v=vs.85).aspx
jwilleke
AD это сервер. ADSI это оболочка COM. NDS - это продукт, использующий LDAP. @jwilleke
Маркиз Лорн
3

https://jumpcloud.com/blog/difference-between-ldap-and-active-directory/

В действительности, между двумя решениями для каталогов, вероятно, больше различий, чем сходств. AD от Microsoft в значительной степени является каталогом для пользователей, устройств и приложений Windows. Для AD требуется наличие контроллера домена Microsoft, а когда он есть, пользователи могут выполнять единый вход в ресурсы Windows, которые находятся в структуре домена.

LDAP, с другой стороны, в основном работал вне структуры Windows, концентрируясь на среде Linux / Unix и на более технических приложениях. В LDAP нет одинаковых концепций доменов или единого входа. LDAP в значительной степени реализован с помощью решений с открытым исходным кодом и, как результат, обладает большей гибкостью, чем AD.

Еще одно критическое различие между LDAP и Active Directory заключается в том, как AD и LDAP подходят к управлению устройствами. AD управляет устройствами Windows с помощью объектов групповой политики (GPO). Подобная концепция не существует в LDAP. Как LDAP, так и AD являются весьма разными решениями, и в результате многие организации должны использовать оба этих решения для разных целей.

Вот почему есть очевидная возможность для инноваций. Зачем использовать две полные системы и управлять ими, если одна система может эффективно объединить две?

JavaDeveloper
источник
0

Существует множество систем, поддерживающих LDAP для общения с ними, а не только Active Directory.

Sun, IBM, Novell имеют службы каталогов, которые очень эффективны в качестве серверов LDAP.

geoffc
источник
0

Active Directory - это расширенный набор протокола LDAP. В зависимости от того, как организация использует Active Directory, ваши запросы поиска / установки LDAP могут работать или не работать.

Коди Жак
источник