active-directory - diferencia - ldap active directory

Active Directory vs OpenLDAP (2)

Aquí hay algunas diferencias que conozco de la cabeza. OpenLDAP podría llamarse un servidor LDAP genérico similar a muchos otros servidores LDAP del proveedor (Fedora DS 389, Oracle Internet Directory, IBM Tivoli Directory Server). Active Directory es un poco más personalizado para un conjunto de productos de Microsoft (es decir, ejecuta un dominio de Microsoft). Hay pros y contras de cada uno.

OpenLDAP está vacío después de la instalación y no tiene estructura (llamado DIT). Ni siquiera tiene una entrada raíz fuera de la caja. AD se entregará con una estructura básica y tiene las herramientas de GUI listas para que comience a poblar usuarios. OpenLDAP y otros esperan que usted cree el DIT a mano, por lo que tendrá que diseñar una estructura. Así que tendrás que planificar dónde colocarás a tus usuarios, grupos, roles y pensar en ACL o delegación de sucursales si tu proyecto involucra cosas como esas. Por ejemplo, podría tener un dominio para widgets.com. En AD la estructura enviada se verá así:

+ dc=widgets,dc=com |-- cn=Computers |-- cn=Users |-- cn=Groups

En OpenLDAP (u otras implementaciones de vainilla), puede diseñar su DIT de muchas maneras. Puede seguir la convención del componente de dominio (dc = foo, dc = bar) o puede usar algo organizado por región geográfica (o = foo, c = bar). No importa mucho, pero debes ir con uno u otro. AD usa la convención de DC y no le da una opción, pero otros servidores LDAP pueden seguir cualquiera de las dos convenciones. Si está tratando de encajar en un gran dominio de MS, me atengo a la convención de DC para la consistencia y la facilidad de integración. Pero para este ejemplo, simularemos la organización de nuestra compañía (o) en un país (c) sin regiones o unidades (ou):

+ o=widgets,c=us |-- cn=Machines |-- cn=People |-- cn=Groups |-- cn=Roles

Entonces puedes extender tu esquema si es necesario. Si desea extender su esquema AD, AD le pedirá que agregue elementos de esquema a través del complemento de la consola MMC del Editor de esquema de Active Directory (cree una MMC personalizada). Después de eso, es bastante sencillo. Defina primero sus atributos y luego sus clases de objetos. OpenLDAP requiere que escriba un LDIF (también requiere atributos primero y luego clases de objetos). O use Apache Directory Studio con OpenLDAP, que es una increíble herramienta de administración e interfaz gráfica de usuario que hace que OpenLDAP sea casi fácil de usar.

AD no te deja consultar todo en 389 de forma anónima. Si desea obtener información sobre el esquema (llamado catálogo), debe consultar en 3289 y autenticar. Esto me recuerda a la ocultación de DIB vs DIT de LDAP, pero no sé si AD está intentando hacer lo mismo aquí.

AD tiene un límite de consulta predeterminado de 10,000. Si desea absorber todo de una sola vez, debe usar los controles de paginación en su cliente o en su código o modificar el límite de consulta predeterminado en el controlador de dominio que está buscando. Tenga en cuenta que los controles de paginación pueden ser problemáticos. Los hice trabajar en java usando las bibliotecas de Netscape, pero algunos clientes LDAP no parecen funcionar correctamente aunque afirman que admiten los controles de paginación (YMMV).

La autenticación de AD es un poco extraña. Puede autenticarse como un nombre de usuario con formato de correo electrónico (-D nombredeusuario @ dominio) o puede usar el DN de usuario completo. Si hay una forma de hacerlo en OpenLDAP, no sé cómo hacerlo, pero no me molestaría. Esto es extraño en comparación con otros servidores LDAP. El LDAP simple suele seguir el formato DN (cn = nombre de usuario, cn = Usuarios, o = widgets, c = us).

Supongo que, en pocas palabras, AD es crítico y OpenLDAP es genérico. Y debido a eso, AD es fácil de levantarse pero OpenLDAP puede ser más flexible.