LDAP 目录服务的现代化替代方案

几十年来,LDAP 作为用户管理、身份验证和授权平台一直是许多企业 IT 基础架构中的核心组成。但随着 IT 资源的种类激增,新的身份验证协议也接踵而至, LDAP 服务器也不再是企业首选的身份验证平台。尽管如此,企业仍然希望能够使用 LDAP 服务。因此,IT 和系统管理员也在寻找能够替代 LDAP 的理想方案。

在分析 LDAP 的替代方案之前,首先有必要了解 LDAP 在今天的 IT 环境中具有哪些重要意义。

1. 为什么选择 LDAP?

随着企业发展,即便目前的用户数量不多,最终还是需要一个管理用户以及 IT 资源的系统。而身份和访问管理(IAM)通常是大多数企业的核心用户管理系统,也是重要的基础架构组件,只是企业可能并不希望在 IAM 上投入太多时间。 大多数企业也已经意识到比起建立内部的用户管理系统,创新产品服务更重要,因此企业中存在越来越多的移动及云上业务,加之 Mac、Linux 终端和服务器的应用,企业为员工在微软 Active Directory (AD)等目录服务中创建账号以后无法管控员工对这些创新产品和服务的访问。

当企业认识到这一点时,就会采用 LDAP 和其开源平台 OpenLDAP 作为对 AD 等目录服务或核心身份源的补充。在手动管理账号阶段,企业可能已经共享了 root 密码、脚本来创建和管理服务器上的用户,或者使用 Chef 或 Puppet 等用户管理系统。这些方法不仅耗时,而且最终管理负担也会积少成多。因此,LDAP 逐渐成为一种更有效的身份管理方案。

2. 运行LDAP 服务的挑战

虽然 LDAP 目录服务将管理员从手动管理中解放出来,但在企业内具体实施 LDAP 的过程依然很困难。LDAP 实际上是一个数据库,因此系统配置也非常耗时。再加上云计算、安全性、自动化等因素,部署会变得更加复杂。此外,将所有云服务器与 LDAP 目录服务器对接需要配置相应端口、网络路由并设置权限。

配置 LDAP 目录服务还要考虑可用性。由于 LDAP 负责存储企业服务器等设备和应用的身份认证数据,一旦停机就会导致所有业务系统或应用无法访问。

此外,用户预配和取消预配在很大程度上也变成了手动过程。管理员需要进入 LDAP 服务器创建用户账号并授予适当权限,然后将临时密码在邮件中发送给用户,提醒用户登录后更改密码。如果企业系统登录使用的是密钥,管理员还需要询问用户登录的公钥,然后在用户预配时将公钥插入 LDAP 目录服务中。

如果能让 LDAP 服务器的配置和运行保持简单的状态,并且基础架构中没有太多新用户或服务器的更改,那么 LDAP 的运维还能持续下去。一旦有新增用户、服务器、设备、应用或云计算平台,管理 LDAP 就会更加困难。更糟糕的是,原本就忙碌的运维和 IT 人员还有多少时间可以花在 LDAP 服务器的管理上?

3. 身份目录即服务——LDAP 的理想替代

所幸,LDAP 服务有理想的替代方案,无需手动管理配置。它就是身份目录即服务(DaaS) ,一个基于标准 LDAP 协议的云身份目录,支持 Windows、Mac 和 Linux 等跨系统用户管理,能够快速同步新用户,并快速分配给用户相应资源的访问权限,全程简单、轻松快捷。终端用户甚至可以上传 SSH 公钥,系统会自动分发到用户有访问权限的服务器。

从最终的实施效果来看,管理员无需管理 LDAP 服务器,无需追踪密码或密钥,更重要的是能有效防范入侵破解。

为了完善用户管理流程,DaaS 会追踪登录 IT 资源的用户访问情况,验证用户身份、审计登录时间、地点等信息。在网络钓鱼攻击和凭证窃取肆虐的时代,这些安全功能是 LDAP 无法提供的,但又是运维和 IT 管理员的关键任务,毕竟用户创建和数据存储只是用户管理的一小部分,这些访问控制和登录审计才是重头戏。DaaS 可以将这些安全功能实现自动化,管理员无需查看日志、过滤关键活动的信息,也无需跟进风险警报。

进入云计算时代后,基于 SaaS 的解决方案和运维方法已成为主流,企业可以采用最新的身份目录即服务平台安全管理用户,作为 LDAP 等传统解决方案的有效替代。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解身份认证更多内容,可前往宁盾官网博客解锁更多干货)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值