Перейти к содержимому

Ldap и ad в чем разница

  • автор:

Что такое Active Directory и LDAP?

img

Active Directory, который является службой каталогов играет такую важную роль в структуре ИТ-инфраструктуры большинства организаций.

Служба каталогов — это система программного обеспечения, которая хранит, организует и предоставляет доступ к информации в каталоге операционной системы компьютера. В разработке программного обеспечения каталог представляет собой карту между именами и значениями. Это позволяет искать именованные значения, аналогично словарю. Чаще всего используется для представления персонала, материальных или сетевых ресурсов.

Коротко говоря: AD — это база данных служб каталогов, а LDAP — один из протоколов, которые вы можете использовать для общения с ней. LDAP — это протокол, а Active Directory — это сервер.

AD & LDAP

Что такое Active Directory?

Active Directory — это реализация служб каталогов, которая предоставляет все виды функций, таких как аутентификация, управление группами и пользователями, администрирование политик и многое другое. Active Directory служит единым хранилищем данных для быстрого доступа к данным для всех пользователей и контролирует доступ для пользователей на основе политики безопасности каталога.

Active Directory (AD) поддерживает как Kerberos, так и LDAP — Microsoft AD на сегодняшний день является наиболее распространенной системой служб каталогов, используемой сегодня. AD обеспечивает Single-SignOn (SSO) и хорошо работает в офисе и через VPN. AD и Kerberos не являются кроссплатформенными, что является одной из причин, по которой компании внедряют программное обеспечение для управления доступом для управления входами с разных устройств и платформ в одном месте. AD поддерживает LDAP, что означает, что он все еще может быть частью вашей общей схемы управления доступом.

Active Directory — это только один пример службы каталогов, которая поддерживает LDAP. Также есть и другие варианты: служба каталогов Red Hat, OpenLDAP, сервер каталогов Apache и другие.

А еще Active Directory можено интегрировать с Asterisk

Что такое LDAP?

LDAP (Lightweight Directory Access Protocol) — это открытый и кроссплатформенный протокол, используемый для аутентификации служб каталогов.

LDAP позволяет приложениям взаимодействовать с другими серверами служб каталогов. Это важно, потому что службы каталогов хранят и передают важную конфиденциальную информацию, связанную с пользователями, паролями и учетными записями компьютеров.

Как Active Directory и LDAP работают вместе?

Active Directory поддерживает LDAP, что означает, что вы можете объединить их, чтобы улучшить управление доступом. Фактически, многие различные службы каталогов и решения для управления доступом могут понимать LDAP, что делает его широко используемым в средах без Active Directory.

Что такое аутентификация LDAP?

В LDAP v3 есть два варианта аутентификации LDAP — простой и SASL (Simple Authentication and Security Layer).

Простая аутентификация допускает три возможных механизма аутентификации:

  • Анонимная аутентификация: предоставляет клиенту анонимный статус для LDAP.
  • Аутентификация без аутентификации: только для целей регистрации, не должна предоставлять доступ клиенту.
  • Аутентификация по имени или паролю: Предоставляет доступ к серверу на основе предоставленных учетных данных — простая аутентификация пользователя или пароля не является безопасной и не подходит для аутентификации без защиты конфиденциальности.

Аутентификация SASL связывает сервер LDAP с другим механизмом аутентификации, таким как Kerberos. Сервер LDAP использует протокол LDAP для отправки сообщения LDAP другой службе авторизации. Это инициирует серию ответных сообщений запроса, которые приводят либо к успешной аутентификации, либо к неудачной аутентификации.

Важно отметить, что по умолчанию LDAP передает все эти сообщения в виде открытого текста, поэтому любой человек, имеющий сетевой анализатор, может читать пакеты. Вам нужно добавить шифрование TLS или подобное, чтобы сохранить ваши имена пользователей и пароли в безопасности.

Что такое запрос LDAP?

Запрос LDAP — это команда, которая запрашивает у службы каталогов некоторую информацию. Например, если вы хотите увидеть, в какие группы входит конкретный пользователь, отправьте запрос, который выглядит следующим образом:

(&(objectClass=user)(sAMAccountName=yourUserName) (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))

Синтаксис не очень простой, но в официальном вики можно найти много примеров.

Разница между LDAP в простом режиме и обычном режиме

Все больше и больше сетевых администраторов используют сервер AD/LDAP для аутентификации клиентов для VPN или доступа в Интернет. Однако для разных структур AD или LDAP может потребоваться свой режим клиента LDAP. В этом документе описываются различия между упрощенным и обычным режимами, а также когда их следует использовать.

Когда использовать LDAP в упрощенном режиме?

Клиент LDAP в простом режиме будет отправлять только запрос на привязку. Поэтому его можно использовать, когда все авторизованные пользователи находятся в одном CN или в одном OU. Учетная запись пользователя должна быть доступна непосредственно в CN или OU, как в приведенном ниже сценарии: Маршрутизатор Vigor — в этом случае клиент LDAP отправит запрос на привязку cn=vivian,ou=vpnusers,dc=draytek,dc=com напрямую.

Когда использовать LDAP в обычном режиме?

Клиент LDAP в обычном режиме сможет отправить поисковый запрос после успешной привязки с обычным DN и паролем. Таким образом, мы можем использовать этот режим, когда авторизованные пользователи находятся в одном CN или в одном OU, но пользователи находятся в разных суб-OU, как в сценарии ниже.

  1. Vigor Router, клиент LDAP, отправляет запрос Bind с обычным DN и паролем на сервер, и сервер отвечает Bind Success.
  2. Маршрутизатор Vigor отправляет поисковый запрос, чтобы узнать, где находится пользователь vivian . ou=People,dc=draytek,dc=com
  3. Сервер LDAP отвечает, что пользователь vivian найден и местоположение ou=RD1,ou=RD,ou=People,dc=draytek,dc=com
  4. Маршрутизатор Vigor отправляет запрос cn=vivian,ou=RD1,ou=RD,ou=People,dc=draytek,dc=com на привязку, и сервер отвечает Bind Success
Когда использовать Дополнительный фильтр или DN группы?

Дополнительный фильтр или DN группы — это дополнительный фильтр. После bind → search → bind рабочего процесса Vigor снова выполнит поиск, когда настроено групповое DN или дополнительный фильтр. Это означает, что сервер должен найти пользователя в пути DN группы или в фильтре.

forum.lissyara.su

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

  • Отправить тему по email
  • Версия для печати

Первое новое сообщение • 4 сообщения • Страница 1 из 1
jackvorobey рядовой Сообщения: 29 Зарегистрирован: 2009-07-05 7:27:14

Отличие LDAP от Active Directory

  • Пожаловаться на это сообщение
  • Цитата

Здравствуйте! Я прочитал прого информации про LDAP, но хотелось бы услышать ответ «на пальцах» от человека, а не от книжки.
Есть сервер на win2003+DDNS+DHCP+AD

Возник вопрос: возможно ли на FreeBSD использовать сервер LDAP и перенести все функции win2003 сервера на сервер с FreeBSD ?
В частности интересует:
1. Применение групповых политик
2. Хранение учётных записей
3. наличие GUI ,немного облегчающего администрирование
4. возможность управления учётными записями (привязка к определённому компьютеру, общей папке, личная информация т.д.)
5. наличие совместимости с Windows -клиентами
7. Функции контроллера домена

Возможно ли использовать эти функции на FreeBSD с LDAP сервером ?
И в чём, собственно, отличие LDAP от Active Directory?

P.S. просто услышал от одного человека «OpenLDAP это песчинка в мире Microsoft Active Directory» и решил переспросить

jackvorobey

Хостинг HostFood.ru

Услуги хостинговой компании Host-Food.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Dron ст. сержант Сообщения: 373 Зарегистрирован: 2007-08-15 13:36:28 Откуда: Днепропетровск Контактная информация:

Использование портала с LDAP или Active Directory и аутентификация на уровне портала

У вас есть возможность для безопасного входа на портал с использованием Облегченного протокола доступа к каталогам (LDAP) или Windows Active Directory. При использовании LDAP учетные данные управляются с помощью сервера LDAP вашей организации. При использовании Windows Active Directory управление учетными записями происходит с помощью Microsoft Windows Active Directory. Приступать к настройке аутентификации на уровне портала можно после обновления хранилища аутентификаций портала для LDAP или Active Directory.

Настройка портала на использование HTTPS для всех коммуникаций

Сначала настройте портал для работы с HTTPS-коммуникацией.

  1. Войдите на веб-сайт портала в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/home .
  2. На странице Моя организация щелкните Редактирование настроек > Безопасность .
  3. Отметьте опцию Разрешить доступ к порталу только с использованием HTTPS .
  4. Нажмите Сохранить , чтобы применить изменения.

Обновление хранилища аутентификаций портала с использованием протокола LDAP или Windows Active Directory.

Затем обновите хранилище аутентификаций портала, чтобы оно использовало либо протокол LDAP, либо учетные записи и группы Active Directory.

Настройка хранилища аутентификаций портала для LDAP

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin .
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций .
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации LDAP вашей организации (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.

В большинстве случаев достаточно изменить значения для параметров user , userPassword и ldapURLForUsers . URL для вашего LDAP должен предоставляться администратором LDAP. В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе: «ldapURLForUsers»: «ldaps://bar2:10636/dc=example,dc=com», Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true .

В большинстве случаев достаточно изменить значения для параметров user , userPassword и ldapURLForUsers . URL для вашего LDAP должен предоставляться администратором LDAP. В приведенном выше примере URL-адрес LDAP относится к пользователям в определенном OU (ou=пользователи). Когда пользователи существуют в нескольких OU, URL-адрес LDAP может указывать на более высокий уровень OU или даже, при необходимости, на корневой уровень. В этом случае URL-адрес будет выглядеть несколько иначе: «ldapURLForUsers»: «ldaps://bar2:10636/dc=example,dc=com», Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра адреса эл. почты и имен пользователей в вашей организации. Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкнете Обновить конфигурацию (ниже). Если ваш LDAP чувствителен к регистру, установите для параметра caseSensitive значение true .

Обновление хранилища аутентификаций портала с помощью Active Directory

  1. Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptorhost.domain.com/webadaptorname/portaladmin .
  2. Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций .
  3. Вставьте в текстовое окно Настройка хранилища пользователей (в формате JSON) информацию о пользовательской конфигурации вашей организации Windows Active Directory (в формате JSON). Либо добавьте в следующий пример информацию вашей организации.

В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user . Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра адреса электронной почты и полного имени в учетных записях Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает. В тех редких случаях, когда Windows Active Directory чувствительна к регистру, установите для параметра caseSensitive значение «true» .

В большинстве случаев вам будет необходимо изменить только значения для параметров userPassword и user . Хотя вы вводите пароль в виде обычного текста, он будет зашифрован, когда вы щелкните Обновить конфигурацию (ниже). Для учетной записи, которую вы задали для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, задайте для учетной записи пароль, срок действия которого не истекает.

Настройка дополнительных параметров хранилища аутентификаций

Существуют дополнительные параметры хранилища аутентификаций, которые можно изменить с помощью API администрирования ArcGIS Portal Directory. Эти параметры включают такие опции, как: будут ли автоматически обновляться группы при входе на портал пользователя организации, установка интервала обновления участников, а также опцию, которая определяет, будет ли производиться проверка форматов разных имен пользователей. Более подробно см. в разделе Обновление хранилища аутентификаций.

Настройка аутентификации веб-уровня

Когда портал будет настроен с Active Directory или хранилищем аутентификаций LDAP, необходимо включить анонимный доступ через веб-адаптер в IIS или сервер приложений Java. Когда пользователи открывают страницу входа на портал, они смогут выполнить вход с помощью корпоративных или встроенных учетных записей. Корпоративные пользователя будут должны вводить свои учетные данные при каждом входе на портал; автоматический вход и система единого входа будут недоступны. При этом типе аутентификации также разрешается анонимный доступ к картам и другим ресурсам портала, к которым предоставлен доступ для всех.

Проверка доступности портала по протоколу LDAP или с учетными данными Active Directory

  1. Откройте веб-сайт портала. Формат URL-адреса: https://webadaptorhost.domain.com/webadaptorname/home .
  2. Войдите под учетной записью организации (см. ниже пример синтаксиса).

При использовании аутентификации уровня портала участники вашей организации будут заходить в систему, используя следующий синтаксис:

  • При использовании портала вместе с Active Directory синтаксис может быть domain\username или username@domain . Независимо от того, как входит участник, имя пользователя всегда отображается на веб-сайте портала как username@domain .
  • При работе с порталом с использованием LDAP синтаксис всегда имеет вид username . На веб-сайте портала всегда отображается учетная запись в этом формате.

Добавление пользователей из корпоративной системы на портал

По умолчанию корпоративные пользователи могут работать с веб-сайтом портала. Однако они могут лишь просматривать элементы, открытые для всех пользователей организации. Это связано с тем, что корпоративные учетные записи не были добавлены на портал, и им не были выданы права доступа.

Добавьте учетные записи на портал одним из следующих методов:

  • Веб-сайт Portal for ArcGIS (однократно, в пакетном режиме с использованием файла CSV или из существующих корпоративных групп)
  • Скрипт Python
  • Утилита командной строки
  • Автоматически

Рекомендуется назначить хотя бы одну корпоративную учетную запись Windows в качестве Администратора портала. Это можно сделать, выбрав роль Администратор при добавлении учетной записи. Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить учетной записи главного администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

После добавления учетных записей пользователи смогут входить в организацию и пользоваться ресурсами.

В этом разделе
  1. Настройка портала на использование HTTPS для всех коммуникаций
  2. Обновление хранилища аутентификаций портала с использованием протокола LDAP или Windows Active Directory.
  3. Настройка дополнительных параметров хранилища аутентификаций
  4. Настройка аутентификации веб-уровня
  5. Проверка доступности портала по протоколу LDAP или с учетными данными Active Directory
  6. Добавление пользователей из корпоративной системы на портал
Похожие публикации:
  1. Suspicious process pdo pak что это
  2. Как много конструкторов в классе может иметь python
  3. Как снять молдинги с дверей шевроле нива
  4. Что такое wireless isp в роутере

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *