LDAP（輕量級目錄訪問協(xié)議）是用戶、設(shè)備和客戶端與目錄服務(wù)器通信的標準協(xié)議。LDAP 協(xié)議幫助用戶對 IT 資源進行身份驗證和授權(quán)，這些資源包括服務(wù)器、應(yīng)用程序、網(wǎng)絡(luò)、文件服務(wù)器等。

OpenLDAP 和 微軟的 Active Directory （AD）是目前最流行的兩大 LDAP 目錄服務(wù)，這兩個方案已經(jīng)實現(xiàn)了工具、接口和其他附加功能。在本文中，我們將討論這兩者的區(qū)別。但首先，讓我們分清一下 LDAP 和其他軟件的區(qū)別。

LDAP與OpenLDAP、AD有什么區(qū)別？

LDAP 是定義用戶、設(shè)備和客戶端如何與目錄服務(wù)器通信的協(xié)議。它還為如何在目錄中組織和展示信息提供了一個框架。這些框架靈活且可自定義，因此不同的目錄可以應(yīng)用不同的格式，但它們往往遵循分層次的樹結(jié)構(gòu)。

使用 LDAP ，用戶可以通過輸入憑證訪問 IT 資源。該協(xié)議搜索憑證并將其與 LDAP 服務(wù)器為身份驗證用戶存儲的內(nèi)容進行比較——如果用戶名和密碼與目錄中列出的內(nèi)容匹配，則 LDAP 將對用戶進行身份驗證。通過使用 LDAP，企業(yè)可以集中控制身份驗證服務(wù)，同時為用戶提供快速訪問網(wǎng)絡(luò)上諸多IT資源的權(quán)限。

LDAP 協(xié)議不是軟件，而是用于簡化 LDAP 目錄的創(chuàng)建、實施和管理的軟件包。OpenLDAP 是最早的軟件實現(xiàn)之一。

LDAP和OpenLDAP有什么區(qū)別？

OpenLDAP 是LDAP 協(xié)議免費、開源的實現(xiàn)。因為它是一種常見的、免費的自由迭代產(chǎn)品，任何人都可以使用，故 OpenLDAP 有時就叫做“LDAP”。然而，它不僅僅是協(xié)議，也是輕量級的 LDAP 目錄軟件。

OpenLDAP 可以在任何平臺上使用。與其他能提供更強大的功能（如 GUI）以及通常是其他協(xié)議和功能的套件（通常成本較高）的實現(xiàn)相比，OpenLDAP 是一個高度集中的 LDAP 選項，支持定制并適用于所有主要計算平臺。雖然靈活性聽起來像是一個優(yōu)勢（通常是這樣），但它會使軟件更難導(dǎo)航，再加上它缺乏接口，意味著它可能需要大量的專業(yè)知識來實現(xiàn)和管理。

OpenLDAP和AD有什么區(qū)別？

Microsoft Active Directory (AD) 是一種目錄服務(wù)，可將用戶和設(shè)備帳戶數(shù)據(jù)存儲在中央位置，用于基于 Windows 的網(wǎng)絡(luò)、設(shè)備、應(yīng)用程序和文件實現(xiàn)訪問。

AD 比 OpenLDAP 功能更豐富：它包括一個 GUI （圖形用戶界面） 和更強大的配置功能，例如 Windows 設(shè)備的組策略對象。OpenLDAP 僅使用 LDAP 協(xié)議，而 AD 還用了除 LDAP 之外的其他協(xié)議。事實上，LDAP 并不是 AD 的主要協(xié)議；相反，它利用 Microsoft 專有的輕量級目錄訪問協(xié)議的實現(xiàn)，并主要使用 Microsoft 的專有身份驗證協(xié)議 Kerberos。

雖然總體上看 AD 更強大，但 OpenLDAP 是專注于 LDAP 協(xié)議的產(chǎn)品，其提供的服務(wù)比AD要更廣泛。

當然，成本差異反映了更廣泛的功能概念和 Microsoft 解決方案的商業(yè)性質(zhì)：OpenLDAP 是免費的，而 AD 不是。AD 需要授權(quán)，并且由于它是在預(yù)置設(shè)備上運行，因此 AD 硬件和維護成本可能會增加。

雖然 AD 提供了 LDAP 協(xié)議之外的更多功能，但 OpenLDAP 在實施方面更加靈活并且支持定制。在考慮這兩者時，企業(yè)應(yīng)該決定他們是傾向于靈活性 (OpenLDAP) 還是易用性 (AD)。

對于某些企業(yè)來說，OpenLDAP 更合適。具體來說，對于利用基于 Linux 的系統(tǒng)和應(yīng)用程序、網(wǎng)絡(luò)設(shè)備以及 NAS 和 SAN 存儲系統(tǒng)的企業(yè)來說，LDAP 通常是這些 IT 資源的首選協(xié)議。此外，對于利用數(shù)據(jù)中心或“云基礎(chǔ)設(shè)施即服務(wù)”技術(shù)的企業(yè)而言，使用 OpenLDAP 服務(wù)器往往比 Active Directory 更有效。

當然，Active Directory 也有自身優(yōu)勢。對于主要基于 Windows 并僅打算利用 Azure 云基礎(chǔ)設(shè)施的企業(yè)而言，結(jié)合Active Directory 和 Azure AD 會更有益。但是，即使如此，許多 IT 企業(yè)仍選擇使用 OpenLDAP，因為 Azure AD 缺乏對云基礎(chǔ)設(shè)施的 LDAP 支持。