LDAP vs AD

¿Qué es LDAP?

LDAP (Lightweight Directory Access Protocol) es un protocolo abierto y multiplataforma utilizado para la autenticación de servicios de directorio.

LDAP proporciona el lenguaje de comunicación que utilizan las aplicaciones para comunicarse con otros servidores de servicios de directorio. Los servicios de directorio almacenan los usuarios, contraseñas y cuentas de computadora, y comparten esa información con otras entidades en la red.

¿Qué es Active Directory (AD)?

Active Directory es una implementación de servicios de directorio que proporciona todo tipo de funcionalidades como autenticación, administración de grupos y usuarios y administración de políticas.

Active Directory (AD) es compatible con Kerberos y LDAP: Microsoft AD es, con diferencia, el sistema de servicios de directorio más común en uso en la actualidad. AD proporciona inicio de sesión único (SSO) y funciona correctamente en el puesto de trabajo a través de una  VPN. AD y Kerberos no son multiplataforma, que es una de las razones por las que las empresas están implementando software de administración de acceso para administrar los inicios de sesión desde muchos dispositivos y plataformas diferentes en un solo lugar. 

Active Directory es solo un ejemplo de un servicio de directorio que admite LDAP.  Existen en el mercado diversas opciones como Red Hat Directory Service, OpenLDAP, Apache Directory Server, etc…

LDAP vs. Active Directory

LDAP es una forma de comunicarse con Active Directory.

LDAP es un protocolo que pueden comprender muchos servicios de directorio y soluciones de administración de acceso diferentes.

La relación entre AD y LDAP se puede comparar con la relación entre Apache y HTTP:

  • HTTP es un protocolo web.
  • Apache es un servidor web que utiliza el protocolo HTTP.
  • LDAP es un protocolo de servicios de directorio.
  • Active Directory es un servidor de directorio que utiliza el protocolo LDAP.

Decir: «No tenemos Active Directory, pero tenemos LDAP» seguramente indicará que utilizan otro producto como servidores LDAP.  Es como si alguien dijera «Tenemos HTTP» cuando en realidad se refería a «Tenemos un servidor web Apache».

Los servidores LDAP, además del Active Directory, mas utilizados son: OpenLDAP, Red Hat Directory Server, Apache Directory Server, Novell Directory Services y Open DS

¿Qué es la autenticación LDAP?
Hay dos opciones para la autenticación LDAP en LDAP v3: simple y SASL (autenticación simple y capa de seguridad). La autenticación simple permite tres posibles mecanismos de autenticación:
  • Autenticación anónima: otorga el estado anónimo del cliente a LDAP.
  • Autenticación no autenticada: solo para fines de registro, no debe otorgar acceso a un cliente.
  • Autenticación de nombre / contraseña: Otorga acceso al servidor según las credenciales proporcionadas; la autenticación simple de usuario / contraseña no es segura y no es adecuada para la autenticación sin protección de confidencialidad.
La autenticación SASL vincula el servidor LDAP a otro mecanismo de autenticación, como Kerberos. El servidor LDAP utiliza el protocolo LDAP para enviar un mensaje LDAP al otro servicio de autorización. Eso inicia una cadena de mensajes de desafío que dan como resultado una autenticación exitosa o fallida en la autenticación. Es importante tener en cuenta que LDAP pasa todos esos mensajes en texto sin cifrar de forma predeterminada, por lo que cualquier persona con un rastreador de red puede leer los paquetes. Debe agregar cifrado TLS o similar para mantener seguros sus nombres de usuario y contraseñas.

ajimenez1965@gmail.com