LDAP和Active Directory有什么区别?


Active Directory是一个基于数据库的系统,在Windows环境下提供认证、目录、策略等服务

LDAP(轻量级目录访问协议)是一种用于在Active Directory等目录服务提供者中查询和修改项的应用协议,它支持某种形式的LDAP。

简单回答:AD是一个目录服务数据库,LDAP是您可以用来与它通信的协议之一。


LDAP是一个标准,AD是微软的(专有的)实现(等等)。维基百科有一篇很好的文章深入研究了细节。我发现这个文档从LDAP的角度对AD进行了非常详细的评估。


轻量级目录访问协议(LDAP)是一种基于标准的与目录数据交互的规范。目录服务可以实现对LDAP的支持,以提供第三方应用程序之间的互操作性。

Active Directory是微软目录服务的实现,在其他协议中,它支持LDAP来查询数据。

虽然Active Directory支持LDAP,但它提供了大量扩展和便利,例如密码过期和帐户锁定。


有很多系统都支持LDAP与他们进行通信,而不仅仅是Active Directory。

Sun、IBM、Novell都有作为LDAP服务器非常有效的目录服务。


活动目录不仅仅是微软对LDAP的实现,它只是AD的一小部分。Active Directory是(以一种过于简化的方式)提供基于LDAP的身份验证和基于Kerberos的授权的服务。

当然,AD中的LDAP和Kerberos实现并不能完全与其他LDAP/Kerberos实现实现100%互操作……


Active directory是用于存储基于组织的数据、策略、身份验证等的目录服务数据库,而ldap是用于与AD或adam目录服务数据库对话的协议。


活动目录是一个目录服务提供者,您可以在其中添加新用户到目录,删除或修改,指定特权,分配策略等。这就像一个电话薄,每个人都有一个唯一的联系号码。AD(Active Directory)中的每一个东西都被认为是对象,每个对象都被赋予一个唯一的ID。(类似于电话号码簿中的唯一联系号码。

Ldap是专门为目录服务提供商设计的协议。Windows服务器操作系统使用AD作为目录服务器,IBM的UNIX版本AIX使用Tivoli目录服务器。两者都使用LDAP协议与目录进行交互。

除了协议,还有LDAP服务器和LDAP浏览器。


LDAP位于TCP/IP堆栈之上,控制internet目录访问。它是环境不可知论者。

AD & ADSI是围绕LDAP层的COM包装器,并且是特定于Windows的。

你可以看到微软的解释 在这里。


简短的摘要

Active Directory是微软公司实现的一种目录服务,它支持LDAP (Lightweight Directory Access Protocol)。

长回答

首先,你需要知道什么是目录服务。

目录服务是一种软件系统,用于存储、组织和提供对计算机操作系统目录中的信息的访问。在软件工程中,目录是名称和值之间的映射。它允许查找命名值,类似于字典。

欲了解更多详情,请浏览https://en.wikipedia.org/wiki/Directory_service

其次,可以想象,不同的供应商实现了各种形式的目录服务,这不利于多供应商的互操作性。

第三,在20世纪80年代,国际电联和ISO提出了一套用于目录服务的标准X.500,最初是为了支持运营商间电子消息传递和网络名称查找的要求。

第四,基于该标准,开发了轻量级目录访问协议(LDAP)。它使用TCP/IP堆栈和X.500目录访问协议(DAP)的字符串编码方案,使其在Internet上更具相关性。

最后,基于此LDAP/X。500堆栈之后,微软为Windows实现了一个现代的目录服务,它起源于X.500目录,创建用于Exchange Server。这个实现叫做活动目录。

简单来说,Active Directory是由微软实现的目录服务,它支持轻量级目录访问协议(LDAP)。

PS[0]:这个答案大量复制了上面列出的维基百科页面的内容。

PS[1]:要了解为什么使用目录服务比使用关系数据库更好,请阅读https://en.wikipedia.org/wiki/Directory_service#Comparison_with_relational_databases


Active Directory是LDAP协议的一个超集。根据组织使用Active Directory的方式,您的LDAP搜索/设置查询可能工作,也可能不工作。


https://jumpcloud.com/blog/difference-between-ldap-and-active-directory/

实际上,这两个目录解决方案之间的差异可能比相似之处要多。微软的广告在很大程度上是Windows用户、设备和应用程序的目录。AD需要一个Microsoft域控制器,当它存在时,用户能够单点登录到域结构中的Windows资源。

另一方面,LDAP主要在Windows结构之外工作,侧重于Linux / Unix环境和更多的技术应用程序。LDAP没有相同的域或单点登录概念。LDAP在很大程度上是用开源解决方案实现的,因此比AD具有更大的灵活性。

LDAP和Active Directory之间的另一个关键区别是AD和LDAP各自处理设备管理的方式。AD通过和gpo (Group Policy Objects)管理Windows设备。类似的概念在LDAP中并不存在。LDAP和AD都是截然不同的解决方案,因此许多组织必须利用两者来满足不同的目的。

这就是为什么有明显的创新机会。当一个系统可以有效地合并两个系统时,为什么要利用和管理两个完整的系统呢?