企業(yè)真的在將 LDAP 遷移到云上嗎？準(zhǔn)確地說，LDAP 是一種協(xié)議，企業(yè)最終目的并不是真的將 LDAP 遷移到云中，而是將 LDAP 身份驗(yàn)證轉(zhuǎn)移到云中的 LDAP 服務(wù)器上。雖然這是個文字游戲，但是，撇開技術(shù)細(xì)節(jié)不談，許多IT企業(yè)正在將其 IT 管理基礎(chǔ)設(shè)施轉(zhuǎn)移到云上。而這一轉(zhuǎn)變意味著需要考慮如何進(jìn)行身份管理，特別是如何管理 LDAP 服務(wù)器。

為什么選擇 LDAP？

LDAP 的歷史可以追溯到90年代初。俗話說“需要乃發(fā)明之母”，我們需要 LDAP（輕量級目錄訪問協(xié)議），故其誕生了。LDAP 是由蒂姆·豪斯（Tim Howes）在密歇根大學(xué)創(chuàng)建的 X.500 目錄服務(wù)協(xié)議的一個資源密集型較低的版本。X.500 的運(yùn)行成本高昂，當(dāng)時的設(shè)備無法進(jìn)行實(shí)際應(yīng)用。因此，在豪斯先生和他同事們的努力下，LDAP 誕生了。

LDAP 一經(jīng)問世便十分受歡迎，并且在1997年被列為互聯(lián)網(wǎng)認(rèn)證標(biāo)準(zhǔn)。LDAP 是幫助建立互聯(lián)網(wǎng)的基石，至今仍然得到廣泛使用。現(xiàn)在，LDAP 主要用于對技術(shù)性較強(qiáng)的應(yīng)用程序和系統(tǒng)進(jìn)行認(rèn)證，這些應(yīng)用程序和系統(tǒng)通常組成了 DevOps 組織和其他技術(shù)機(jī)構(gòu)。

LDAP的用途和局限

以往，LDAP 協(xié)議及其關(guān)聯(lián)的基礎(chǔ)設(shè)施并不容易管理，它是高度技術(shù)性的，而且實(shí)施起來往往需要繁瑣的配置和設(shè)置，因此許多IT企業(yè)只能聘請工程師來設(shè)置、配置、維護(hù)和最終管理用戶對 OpenLDAP 等 LDAP 目錄中基于 LDAP 資源的訪問。雖然大多數(shù) LDAP 目錄（如OpenLDAP）都是開源的，不需要購買任何軟件，但在服務(wù)器組件和技術(shù)知識方面的投入成本卻不低。也就是說，盡管很難設(shè)置，但 OpenLDAP 和大多數(shù) LDAP 目錄都是使用 LDAP 協(xié)議的十分靈活的平臺，許多企業(yè)的運(yùn)作都離不開它們。隨著業(yè)務(wù)上云，IT 企業(yè)希望他們可以在沒有額外支出的情況下繼續(xù)享受 LDAP 帶來的好處。

將 LDAP 遷移到云

如上所述，每天都有越來越多的 IT 基礎(chǔ)設(shè)施轉(zhuǎn)向云，LDAP 也隨之一起轉(zhuǎn)移。好消息是，在 LDAP即服務(wù)（LDAP as a Service）的模式下，本地 LDAP 的繁重工作移交給了廠商。由于基礎(chǔ)設(shè)施已遷移到云端，這個第三方解決方案將 OpenLDAP 服務(wù)器置于全球各地，以確保需要 LDAP 身份驗(yàn)證的企業(yè)能夠?qū)崿F(xiàn)高可用性和遠(yuǎn)程訪問。繁雜的 LDAP 實(shí)施工作得以解決，IT 組織便得以保證自己的用戶高效、安全地辦公。也就是說，幾乎不需要親自去運(yùn)行 LDAP 基礎(chǔ)設(shè)施，這些都可以在云上完成。

LDAP 即服務(wù)只是 NingDS 身份目錄云的一項(xiàng)功能。除了 LDAP 即服務(wù)，用戶還可以利用多種認(rèn)證協(xié)議，如 RADIUS、SSH、REST、SAML 等，以便用戶可以找到工作適用的工具。目錄即服務(wù)也不僅僅是一個用戶管理平臺，借助 NingDS，您還可以使用類似于GPO的策略來保護(hù)系統(tǒng)，這些策略可以啟用全盤加密（FDE）、設(shè)置屏幕鎖定計時器，并禁用 USB 端口，這樣即使您的設(shè)備丟失、無人看管，或者被人誤將其他 USB 驅(qū)動器插入系統(tǒng)時，您的設(shè)備也是安全的。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）