輕量級(jí)目錄訪問協(xié)議（LDAP）是專為目錄服務(wù)開發(fā)的核心身份驗(yàn)證協(xié)議之一。LDAP 歷來被用作信息數(shù)據(jù)庫，主要存儲(chǔ)以下信息：

• 用戶
• 關(guān)于這些用戶的屬性
• 組成員特權(quán)
• ……

但 LDAP 認(rèn)證是什么，它是如何工作的？本文將回答這些問題，并闡述 NingDS 身份目錄云平臺(tái)是如何將 LDAP 身份驗(yàn)證作為云服務(wù)來提供的。

LDAP的起源

在我們定義 LDAP 身份驗(yàn)證是什么之前，我們應(yīng)該談?wù)?LDAP 作為一個(gè)整體的重要性。根據(jù) LDAP 協(xié)議的共同發(fā)明者Tim Howes的說法，LDAP 誕生于密歇根大學(xué)，Tim當(dāng)時(shí)是一名研究生，最初是為了替換 DAP（目錄訪問協(xié)議）并為X.500目錄提供低開銷的訪問——LDAP最終將取代該目錄服務(wù)。

LDAP 自1993年首次推出以來一直非常成功。實(shí)際上，LDAP.v3 在1997年成為目錄服務(wù)的互聯(lián)網(wǎng)標(biāo)準(zhǔn)。LDAP 還啟發(fā)了 OpenLDAP 的創(chuàng)建，這是一個(gè)領(lǐng)先的開源目錄服務(wù)平臺(tái)。

這反過來又催生了許多其他基于LDAP的開源解決方案（如389目錄、Apache 目錄服務(wù)），并為微軟 Active Directory（AD）的創(chuàng)建奠定了基礎(chǔ)。LDAP 甚至是現(xiàn)代云目錄（如NingDS）的核心方面，提供云LDAP。因此，盡管它有些年頭了，但可以肯定的是，未來幾年 LDAP 認(rèn)證將成為身份管理的基本要素。

基本的LDAP認(rèn)證和常見挑戰(zhàn)

LDAP 目錄服務(wù)器使用靈活的架構(gòu)，意味著它們可以用企業(yè)需要的格式來存儲(chǔ)各種屬性，包括用戶憑據(jù)、電話號(hào)碼、組關(guān)聯(lián)等。因此，常見的 LDAP 用例是存儲(chǔ)核心用戶身份。

由于 LDAP 目錄可以存儲(chǔ)用戶數(shù)據(jù)和憑證，因此它們可以作為 LDAP 身份驗(yàn)證的真實(shí)來源。在 LDAP 身份驗(yàn)證過程中，用戶通過系統(tǒng)或應(yīng)用輸入其憑證，然后將其與存儲(chǔ)在 LDAP 目錄數(shù)據(jù)庫中的憑據(jù)進(jìn)行比較。如果匹配，用戶將通過身份驗(yàn)證并被授予訪問權(quán)限。

客戶端和服務(wù)器之間的LDAP認(rèn)證是如何工作的？

讓我們來分解下 LDAP 的認(rèn)證過程。

LDAP 身份驗(yàn)證是通過綁定操作完成的，它遵循客戶端/服務(wù)器模型。通常，客戶端是用戶訪問的支持 LDAP 協(xié)議的系統(tǒng)或應(yīng)用，服務(wù)器是 LDAP 目錄數(shù)據(jù)庫。

要進(jìn)行身份驗(yàn)證，客戶端會(huì)向 LDAP 服務(wù)器發(fā)送綁定請求，以及用戶的標(biāo)識(shí)符（即用戶名或電子郵件）和密碼，這些信息是在用戶輸入其憑據(jù)時(shí)由客戶端獲取的。如果用戶提交的憑據(jù)與存儲(chǔ)在 LDAP 數(shù)據(jù)庫中的核心用戶身份相關(guān)聯(lián)的憑據(jù)匹配，則對用戶進(jìn)行身份驗(yàn)證，并通過客戶端獲得對所請求的資源或信息的訪問權(quán)限。如果發(fā)送的憑據(jù)不匹配，則綁定失敗并拒絕用戶訪問。

注意：企業(yè)應(yīng)采取一些預(yù)防措施來保護(hù)他們的 LDAP 身份驗(yàn)證過程，例如禁止匿名 LDAP綁定和加密數(shù)據(jù)傳輸。

實(shí)施LDAP需要什么？

雖然 LDAP 身份驗(yàn)證已被證明是有效的，但為了滿足現(xiàn)代企業(yè)的身份管理需求而實(shí)施和定制基于 LDAP 的基礎(chǔ)設(shè)施所需的時(shí)間和精力可能會(huì)很大。歷史上，LDAP 也是一個(gè)本地實(shí)現(xiàn)，需要專用服務(wù)器，且必須集成到企業(yè)的整體身份管理基礎(chǔ)設(shè)施中（歷史上也是本地實(shí)現(xiàn)）。

這種類型的設(shè)置可能很難實(shí)現(xiàn)，特別是對于規(guī)模較小或以云端業(yè)務(wù)為主的IT企業(yè)。畢竟，大多數(shù)現(xiàn)代企業(yè)都希望將其整個(gè)本地身份管理基礎(chǔ)設(shè)施遷移到云中。然而，隨著更多企業(yè)用云方案替換傳統(tǒng)的本地基礎(chǔ)設(shè)施，問題就變成了：“如何在沒有任何本地設(shè)備的情況下提供 LDAP 身份驗(yàn)證？”

基于云的LDAP身份驗(yàn)證

幸運(yùn)的是，基于云的目錄和開放目錄平臺(tái)已經(jīng)出現(xiàn)，它們可以提供基于云的 LDAP 身份驗(yàn)證服務(wù)。例如，NingDS 身份目錄云不僅提供基于云的 LDAP 身份驗(yàn)證，還可以安全地管理和連接用戶到系統(tǒng)、應(yīng)用程序、文件和網(wǎng)絡(luò)，而無需任何本地設(shè)施。這是因?yàn)?NingDS 采用了開放目錄的方法，企業(yè)可以按照自己的方式管理工作。NingDS 可以作為你的核心身份提供商，或與其他提供商無縫集成，通過利用多個(gè)協(xié)議（LDAP、SAML、RADIUS、SSH、OAuth等）連接用戶到他們所需的所有資源，并兼容與操作系統(tǒng)不相關(guān)的設(shè)備。最終的結(jié)果是，IT 企業(yè)可以自由地利用最好的資源，通過 NingDS 他們可以有效地管理盡可能少或盡可能多的資源。

此外，NingDS 不僅包括云LDAP，它還允許 IT 管理員使用多因素身份驗(yàn)證（MFA）、單點(diǎn)登錄SSO、無線 WiFi 網(wǎng)絡(luò)認(rèn)證以及完整的云目錄服務(wù)等所有功能。