现代 IT 环境中,LDAP 协议该何去何从?

现代 IT 环境中,LDAP 协议该何去何从?前几期文章已经介绍了轻量级目录访问协议(LDAP)的一些基础知识,帮助读者初步了解 LDAP 协议。但随着现代身份管理环境中各种新的身份验证协议

大家好,欢迎来到IT知识分享网。

前几期文章已经介绍了轻量级目录访问协议(LDAP)的一些基础知识,帮助读者初步了解 LDAP 协议。但随着现代身份管理环境中各种新的身份验证协议出现,LDAP 是否还能继续沿用成为很多人关心的又一个问题。为此,本期将深入探究 LDAP 的一些常见用例,并展望其未来发展方向——基于云的 LDAP 即服务。

1. LDAP 常见用例

回到开头的问题,LDAP 究竟适用哪些场景?虽然 LDAP 属于遗留协议的一种,但在验证 Linux 应用以及许多开源解决方案时的表现仍然非常出色。通过 LDAP 进行身份验证的用例包括:

  • OpenVPN
  • Jenkins
  • Kubernetes
  • Docker
  • Atlassian Jira & Confluence
  • Linux Samba 服务器和商用分布式网络附属存储(NAS)设备,如 Synology 或 QNAP

从上述列表可以看出,LDAP 依然用途广泛,目前有数千个附加应用可以使用 LDAP 进行集成。

2. 在多协议环境中使用 LDAP

第二个问题,在现代 IT 环境中,企业可以如何应用 LDAP?由于每个 IT 资源似乎都有各自倾向的协议,结果就导致企业需要使用各种身份验证协议,除了 LDAP 以外还包括 SAML、RADIUS、OAuth 等。更深层次的影响就是管理员和开发运维工程师需要实现每个协议。这种现象被称为“身份管理孤岛”,大大增加了管理的时间成本。


上述协议中并没有哪个协议完全独占,因此企业应采用可以管理多协议的身份和访问管理方案。本文的最后就将讨论企业如何通过支持多协议的单一平台统一管理 IT 资源。

3. LDAP 的影响

LDAP 在诞生之初就引起了不小的轰动,并迅速传播到世界各地,为企业提供开源和非商业化的目录。此外,LDAP 还提供了一种管理开源 Linux 集群的方式,Linux 集群是90年代中期互联网快速扩展的技术基础。而 LDAP 可以模仿 SuSe Linux 和 HP-UX,作为后者低成本、轻量级和开源的替代方案。


当时微软 Active Directory 是基于 Windows 的首选本地目录方案,但 LDAP 随着服务器、Linux/Unix 应用、网络设备、文件服务器等开发运维基础设施的不断发展而大量铺开。

4. LDAP 与 IT 转型

过去十年,亚马逊 AWS、谷歌 G Suite、微软 Office 365、Web 应用、Samba 文件服务器/NAS 设备、WiFi无线网络、苹果macOS 和 Linux 系统等云基础设施陆续加入,给IT 环境带来了巨大变化。IT 环境变化的同时,大量身份验证协议也层出不穷,从 SAML、OAuth 到 OpenID Connect 等等。

IT 环境的转变过程中,像 LDAP 这样的遗留协议很容易被遗忘,但总体来看,LDAP 一直都在投入使用,甚至包括现代云原生企业也在使用。简单来说,LDAP 如此坚挺的原因和最初流行的原因是一样的——轻量化、自适应性和基础性。当然,使用惯性也是一个重要因素。有些企业即便想摆脱 LDAP,用户和管理员也不愿意,因为 LDAP 早已和企业的基础设施深度融合,密不可分了。

5. LDAP 的发展方向

如果企业还未开始实施 LDAP,通常也不希望只为几个应用部署完整的 LDAP 基础架构。但是,企业也很清楚将应用和基础设施连接到 LDAP 的重要性。

LDAP-as-a-Service,简称 LDAP 即服务,它的出现是为了解决构建专用 LDAP 基础设施的问题。LDAP 即服务可以看作是一种云目录服务,负责将用户安全连接到企业 IT 资源,包括系统、应用、文件和网络。这种云目录服务同时也是身份提供程序,不受平台、协议、设备厂商和位置的影响。例如宁盾身份目录服务器即是以 LDAP 协议为主的身份目录,NingDS 则是基于公有云提供服务的 DaaS 身份目录即服务平台,它能帮助企业统一管理人员、终端、网络、应用、多云的接入和认证,让员工、外包人员、供应商、合作伙伴等使用合规的终端都能快捷方便地访问企业云上、云下资源。

利用云目录服务的优势可以总结为以下几点:

  • 安全性:LDAPS 和 Start TLS 确保数据传输安全
  • 标准性:基于标准 LDAP 的模式和目录结构
  • 高可用性:包括自动负载平衡、弹性扩展和冗余
  • 无需本地服务器:省去配置管理步骤
  • 低延迟:区域负载平衡保障高性能
  • 可扩展用户属性:包括员工 ID、职位、部门、位置等
  • 组成员资格:利用 groupOfNames 和 memberOf 对象类满足授权需求

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/55384.html

(0)

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信