¿Cuáles son las diferencias entre LDAP y Active Directory?

¿Cuáles son las diferencias entre LDAP y Active Directory?

Active Directory es un sistema basado en una base de datos que proporciona autenticación, directorio, políticas y otros servicios en un entorno Windows

LDAP (Lightweight Directory Access Protocol) es un protocolo de aplicación para consultar y modificar elementos en proveedores de servicios de directorio como Active Directory, que admite una forma de LDAP.

Respuesta corta: AD es una base de datos de servicios de directorio, y LDAP es uno de los protocolos que puede usar para hablar con él.

LDAP es un estándar, AD es la implementación (patentada) de Microsoft (y más). Wikipedia tiene un buen artículo que profundiza en los detalles. Encontré este documento con una evaluación muy detallada de AD desde una perspectiva LDAP.

Lightweight Directory Access Protocol o LDAP, es una especificación basada en estándares para interactuar con los datos del directorio. Los servicios de directorio pueden implementar el soporte de LDAP para proporcionar interoperabilidad entre aplicaciones de terceros.

Active Directory es la implementación de Microsoft de un servicio de directorio que, entre otros protocolos, admite LDAP para consultar sus datos.

Si bien es compatible con LDAP, Active Directory ofrece una gran cantidad de extensiones y comodidades, como la caducidad de la contraseña y el bloqueo de la cuenta.

Breve resumen

Active Directoryes un servicio de directorio implementado por Microsoft y es compatible con Lightweight Directory Access Protocol(LDAP).

Respuesta larga

En primer lugar, uno necesita saber qué es Directory Service.

Directory Service es un sistema de software que almacena, organiza y proporciona acceso a la información en el directorio de un sistema operativo de computadora. En ingeniería de software, un directorio es un mapa entre nombres y valores. Permite la búsqueda de valores con nombre, similar a un diccionario.

Para más detalles, lea https://en.wikipedia.org/wiki/Directory_service

En segundo lugar, como uno podría imaginar, diferentes proveedores implementan todo tipo de formas de servicio de directorio, lo cual es perjudicial para la interoperabilidad de múltiples proveedores.

En tercer lugar, en la década de 1980, la UIT e ISO presentaron un conjunto de estándares: X.500, para servicios de directorio, inicialmente para cumplir con los requisitos de mensajería electrónica entre operadores y búsqueda de nombres de red.

En cuarto lugar, según este estándar, se desarrolla el Protocolo ligero de acceso a directorios, LDAP. Utiliza la pila TCP / IP y un esquema de codificación de cadena del Protocolo de acceso a directorios (DAP) X.500, lo que le da más relevancia en Internet.

Finalmente, basado en esta pila LDAP / X.500, Microsoft implementó un servicio de directorio moderno para Windows, que se originó en el directorio X.500, creado para su uso en Exchange Server. Y esta implementación se llama Active Directory.

Entonces, en un breve resumen, Active Directoryes un servicio de directorio implementado por Microsoft, y es compatible Lightweight Directory Access Protocol(LDAP).

PS [0]: esta respuesta copia en gran medida el contenido de la página de Wikipedia que se menciona arriba.

PD [1]: para saber por qué puede ser mejor usar el servicio de directorio en lugar de usar una base de datos relacional, lea https://en.wikipedia.org/wiki/Directory_service#Comparison_with_relational_databases

Active Directory no es solo una implementación de LDAP por parte de Microsoft, es solo una pequeña parte de lo que es AD. Active Directory es (de manera demasiado simplificada) un servicio que proporciona autenticación basada en LDAP con autorización basada en Kerberos.

Por supuesto, sus implementaciones LDAP y Kerberos en AD no son exactamente 100% interoperables con otras implementaciones LDAP / Kerberos ...

Active Directory es un proveedor de servicios de directorio, donde puede agregar un nuevo usuario a un directorio, eliminar o modificar, especificar privilegios, asignar políticas, etc. Es como un directorio telefónico donde cada persona tiene un número de contacto único. Cada cosa en AD (Active Directory) se considera como Objetos y cada objeto recibe una Identificación Única (similar a un número de contacto único en un directorio telefónico).

Ldap es un protocolo especialmente diseñado para proveedores de servicios de directorio. El sistema operativo del servidor Windows usa AD como servidor de directorio, AIX, que es una versión UNIX de IBM, usa el servidor de directorio Tivoli. Ambos usan el protocolo LDAP para interactuar con el directorio.

Además del protocolo, hay servidores LDAP, también navegadores LDAP.

El directorio activo es la base de datos del servicio de directorio para almacenar los datos, las políticas, la autenticación, etc., basados ​​en la organización, mientras que ldap es el protocolo utilizado para comunicarse con la base de datos del servicio de directorio que es ad o adam.

LDAP se encuentra en la parte superior de la pila TCP / IP y controla el acceso al directorio de Internet. Es agnóstico al medio ambiente.

AD & ADSI es un contenedor COM alrededor de la capa LDAP y es específico de Windows.

Puedes ver la explicación de Microsoft aquí .

https://jumpcloud.com/blog/difference-between-ldap-and-active-directory/

Siendo realistas, probablemente haya más diferencias que similitudes entre las dos soluciones de directorio. El AD de Microsoft es en gran medida un directorio para usuarios, dispositivos y aplicaciones de Windows. AD requiere un controlador de dominio de Microsoft para estar presente y, cuando lo está, los usuarios pueden iniciar sesión de forma individual en los recursos de Windows que viven dentro de la estructura del dominio.

LDAP, por otro lado, ha trabajado en gran medida fuera de la estructura de Windows centrándose en el entorno Linux / Unix y con más aplicaciones técnicas. LDAP no tiene los mismos conceptos de dominios o inicio de sesión único. LDAP se implementa en gran medida con soluciones de código abierto y, como resultado, tiene más flexibilidad que AD.

Otra diferencia crítica entre LDAP y Active Directory es cómo AD y LDAP cada enfoque de gestión de dispositivos. AD administra dispositivos Windows a través de Objetos de directiva de grupo (GPO). Un concepto similar no existe dentro de LDAP. Tanto LDAP como AD son soluciones muy diferentes y, como resultado, muchas organizaciones deben aprovechar ambas para servir a diferentes propósitos.

Es por eso que hay una oportunidad obvia para la innovación. ¿Por qué aprovechar y administrar dos sistemas completos, cuando un sistema puede fusionar efectivamente los dos?

Hay muchos sistemas que admiten LDAP para hablar con ellos, no solo Active Directory.

Sun, IBM, Novell tienen servicios de directorio que son muy efectivos como servidores LDAP.

Active Directory es un superconjunto del protocolo LDAP. Dependiendo de cómo la organización use Active Directory, sus consultas de búsqueda / configuración de LDAP pueden o no funcionar.