LDAP、OpenLDAP和ActiveDirectory的区别（上）

LDAP（轻量级目录访问协议）是用户、设备和客户端与目录服务器通信的标准协议。LDAP 协议帮助用户对 IT 资源进行身份验证和授权，这些资源包括服务器、应用程序、网络、文件服务器等。
 
OpenLDAP 和 微软的 Active Directory （AD）是目前最流行的两大 LDAP 目录服务，这两个方案已经实现了工具、接口和其他附加功能。在本文中，我们将讨论这两者的区别。但首先，让我们分清一下 LDAP 和其他软件的区别。

一、LDAP与OpenLDAP、AD有什么区别？

LDAP 是定义用户、设备和客户端如何与目录服务器通信的协议。它还为如何在目录中组织和展示信息提供了一个框架。这些框架灵活且可自定义，因此不同的目录可以应用不同的格式，但它们往往遵循分层次的树结构。
 
使用 LDAP ，用户可以通过输入凭证访问 IT 资源。该协议搜索凭证并将其与 LDAP 服务器为身份验证用户存储的内容进行比较——如果用户名和密码与目录中列出的内容匹配，则 LDAP 将对用户进行身份验证。通过使用 LDAP，企业可以集中控制身份验证服务，同时为用户提供快速访问网络上诸多IT资源的权限。
 
LDAP 协议不是软件，而是用于简化 LDAP 目录的创建、实施和管理的软件包。OpenLDAP 是最早的软件实现之一。 

二、LDAP和OpenLDAP有什么区别？

 
OpenLDAP 是LDAP 协议免费、开源的实现。因为它是一种常见的、免费的自由迭代产品，任何人都可以使用，故 OpenLDAP 有时就叫做“LDAP”。然而，它不仅仅是协议，也是轻量级的 LDAP 目录软件。
 
OpenLDAP 可以在任何平台上使用。与其他能提供更强大的功能（如 GUI）以及通常是其他协议和功能的套件（通常成本较高）的实现相比，OpenLDAP 是一个高度集中的 LDAP 选项，支持定制并适用于所有主要计算平台。虽然灵活性听起来像是一个优势（通常是这样），但它会使软件更难导航，再加上它缺乏接口，意味着它可能需要大量的专业知识来实现和管理。

三、OpenLDAP和AD有什么区别？

Microsoft Active Directory (AD) 是一种目录服务，可将用户和设备帐户数据存储在中央位置，用于基于 Windows 的网络、设备、应用程序和文件实现访问。 
 
AD 比 OpenLDAP 功能更丰富：它包括一个 GUI （图形用户界面） 和更强大的配置功能，例如 Windows 设备的组策略对象。OpenLDAP 仅使用 LDAP 协议，而 AD 还用了除 LDAP 之外的其他协议。事实上，LDAP 并不是 AD 的主要协议；相反，它利用 Microsoft 专有的轻量级目录访问协议的实现，并主要使用 Microsoft 的专有身份验证协议 Kerberos。 
 
虽然总体上看 AD 更强大，但 OpenLDAP 是专注于 LDAP 协议的产品，其提供的服务比AD要更广泛。
 
当然，成本差异反映了更广泛的功能概念和 Microsoft 解决方案的商业性质：OpenLDAP 是免费的，而 AD 不是。AD 需要授权，并且由于它是在预置设备上运行，因此 AD 硬件和维护成本可能会增加。
 
虽然 AD 提供了 LDAP 协议之外的更多功能，但 OpenLDAP 在实施方面更加灵活并且支持定制。在考虑这两者时，企业应该决定他们是倾向于灵活性 (OpenLDAP) 还是易用性 (AD)。
 
对于某些企业来说，OpenLDAP 更合适。具体来说，对于利用基于 Linux 的系统和应用程序、网络设备以及 NAS 和 SAN 存储系统的企业来说，LDAP 通常是这些 IT 资源的首选协议。此外，对于利用数据中心或“云基础设施即服务”技术的企业而言，使用 OpenLDAP 服务器往往比 Active Directory 更有效。 
 
当然，Active Directory 也有自身优势。对于主要基于 Windows 并仅打算利用 Azure 云基础设施的企业而言，结合Active Directory 和 Azure AD 会更有益。但是，即使如此，许多 IT 企业仍选择使用 OpenLDAP，因为 Azure AD 缺乏对云基础设施的 LDAP 支持。

（未完待续，下篇将继续讲解哪些企业适合AD或OpenLDAP，及现代企业更理想的目录服务方案）