LDAP (Lightweight Directory Access Protocol) es un protocolo est谩ndar para usuarios, dispositivos y clientes de comunicaci贸n con un servidor de directorio. El protocolo LDAP facilita al usuario la autenticaci贸n y autorizaci贸n para los recursos de las tecnolog铆as de la informaci贸n, los cuales pueden incluir servidores, aplicaciones, redes, servidores de archivo y m谩s.
Los proveedores han creado implementaciones de software de LDAP que incluyen equipamiento, interfaces y otras funcionalidades adicionales. Dos de las implementaciones m谩s populares son OpenLDAP y el Microsoft Active Directory. En este art铆culo, analizaremos las diferencias entre las dos. Pero primero, aclaremos la diferencia entre LDAP y otras implementaciones de software.
驴Cu谩l es la diferencia entre LDAP y Softwares como OpenLDAP y El Active Directory?
LDAP es el protocolo que define c贸mo los usuarios, dispositivos y clientes se pueden comunicar con un servidor de directorio. Adem谩s otorga un marco de c贸mo se puede organizar la informaci贸n y se representa dentro de un directorio. Estos marcos son flexibles y personalizables, de esta manera los diferentes directorios se pueden formatear de manera diferente, pero tienden a seguir una estructura de jerarqu铆a de 谩rbol. Conozca m谩s acerca de la estructura del directorio LDAP en nuestro resumen completo de LDAP.
Con LDAP, los usuarios acceden a los recursos TI ingresando credenciales. El protocolo busca y compara las credenciales de las cuales el servidor LDAP ha almacenado para autentificar al usuario 鈥攕i el nombre de usuario y la contrase帽a coinciden con el listado en el directorio, LDAP autentifica al usuario. Empleando LDAP, puede centralizar servicios de autenticaci贸n mientras les permite a los usuarios un r谩pido acceso a muchos de los recursos de la red.
El protocolo LDAP no es un software, pero paquetes de software han emergido para agilizar la creaci贸n, implementaci贸n y gesti贸n en la creaci贸n de directorios LDAP. Una de las primeras implementaciones de esto fue OpenLDAP.
驴Cu谩l es la diferencia entre LDAP y OpenLDAP?
OpenLDAP es una implementaci贸n gratuita y de recurso abierto del protocolo LDAP. Debido a que es una iteraci贸n com煤n y gratuita disponible a todos, OpenLDAP algunas veces se le llama solo 鈥淟DAP鈥. Sin embargo, es m谩s que solo el protocolo; es el software versi贸n ligera de directorio LDAP.
Se puede utilizar OpenLDAP en cualquier plataforma. En contraste de otras implementaciones que ofrecen caracter铆sticas m谩s robustas como un GUI y por lo regular un conjunto de otros protocolos y funcionalidades (generalmente con costo), Open LDAP es una opci贸n altamente enfocada en LDAP que se personaliza y soporta todas las principales plataformas computacionales. Mientras que la flexibilidad puede sonar como un beneficio (y por lo general lo es), es posible que el software resulte m谩s dif铆cil de navegar. Esto, emparejado con su falta de interfaz, significa que requiere una notable experiencia para implementarlo y gestionarlo.
驴Cu谩l es la diferencia entre OpenLDAP y el Active Directory?
El Active Directory (AD) es un servicio de directorio que almacena el usuario e informaci贸n de la cuenta del dispositivo en una ubicaci贸n central para una red basada en Windows, dispositivo, aplicaci贸n y acceso al archivo.
AD es m谩s abundante en caracter铆sticas que el OpenLDAP: incluye un GUI y caracter铆sticas de configuraci贸n m谩s firmes como Group Policy Objects para dispositivos Windows. Mientras que OpenLDAP solo utiliza el protocolo LDAP, AD utiliza otros protocolos adem谩s de LDAP. De hecho, LDAP no es el protocolo principal de AD; en cambio, impulsa una implementaci贸n del Lightweight Directory Access Protocol, propietario de Microsoft, y utiliza principalmente Kerberos, el protocolo principal de autenticaci贸n propietario de Microsoft.
Mientras que AD puede parecer m谩s firme en general, el enfoque exclusivo de OpenLDAP en el protocolo LDAP le da mucho mayor intensidad que lo que ofrece AD.
Por supuesto, la diferencia de costo refleja la noci贸n de una funcionalidad mucho m谩s amplia y la naturaleza comercial de las soluciones de Microsoft: OpenLDAP es gratuito, y AD no lo es. AD requiere licencia, y debido a que opera en equipos locales, los costos del hardware de AD y el mantenimiento generan m谩s gastos.
Mientras que AD ofrece m谩s capacidades fuera del protocolo LDAP, OpenLDAP resulta m谩s flexible y personalizable cuando se trata de implementaci贸n. Cuando se consideran estas dos, los negocios deben decidir si se interesan m谩s en la flexibilidad (OpenLDAP) o en la facilidad de uso (AD).
Para algunas organizaciones, OpenLDAP es una mejor soluci贸n. Espec铆ficamente, para organizaciones que impulsan los sistemas basados en Linux y aplicaciones, equipos de red, y sistemas de almacenamiento NAS y SAN, LDAP por lo general es el protocolo preferido para esos recursos TI. Adem谩s, para las organizaciones que impulsan los centros de informaci贸n o la tecnolog铆a de la infraestructura como un servicio en la cloud, impulsar un servidor OpenLDAP resulta com煤nmente mucho m谩s efectivo que el Active Directory.
Por supuesto, el Active Directory tambi茅n tiene sus ventajas. Para las organizaciones que se basan en gran manera en Windows e intentan impulsar s贸lo la infraestructura Azure en la cloud, la combinaci贸n del Active Directory y Azure AD puede resultar muy beneficiosa. Incluso en este caso, muchas organizaciones TI optan por impulsar OpenLDAP, debido a que Azure AD carece de soporte LDAP para la infraestructura en la cloud.
驴Cu谩les son las razones principales para Elegir OpenLDAP?
Muchas organizaciones optan por OpenLDAP debido a la flexibilidad y ahorro de costos. OpenLDAP es totalmente configurable para ingenieros calificados, convirti茅ndola en una mejor opci贸n para las organizaciones con nichos o necesidades espec铆ficas.
Adem谩s, es compatible con casi cada plataforma o sistema operativo (OS), mientras que AD funciona mejor con dispositivos Windows. Las organizaciones que usan o planean usar Mac, Linux u otros sistemas, por lo general eligen OpenLDAP. Aquellas con aplicaciones legales o aquellas que se basan en Linux por lo general elegir谩n OpenLDAP.
驴Porque Deber铆a Considerar el Active Directory?
Si su entorno es completamente homog茅neo y basado solo en Microsoft y Windows, AD puede resultar ser su mejor opci贸n. En un ambiente de Windows, los administradores de TI pueden usar la consola de Usuarios y Computadoras del Active Directory basado en Windows y la consola de la computadora para ejecutar casi todas las tareas de gesti贸n. Sin embargo, incluso en estos ambientes, necesita todav铆a considerar c贸mo manejar para las aplicaciones m贸viles y SaaS, soporte de dispositivos Mac y Linux, servidores de archivo no basados en Windows, y equipos de red, dado que AD por lo regular no los soporta sin integraciones o complementos.
AD ofrece un GUI de f谩cil uso para configurar ajustes y gestionar usuarios y grupos. Para aquellos que est谩n menos experimentados en configurar software de fuente abierta, la falta de interfaz OpenLDAP puede resultar una batalla dif铆cil, convirtiendo a AD en la mejor opci贸n.
Mientras que OpenLDAP y el protocolo LDAP preceden la entrada de Microsoft al espacio de servicios del directorio, Microsoft AD se ha apropiado de la mayor proporci贸n del mercado 鈥攁 pesar de que, con la llegada de los directorios en la cloud el panorama IAM est谩 empezando a cambiar. Esto, en combinaci贸n con su conjunto de herramientas de uso m谩s f谩cil, lo puede convertir en una opci贸n atractiva para las organizaciones centradas en Windows/Azure.
AD adem谩s ofrece m谩s protocolos que tan solo LDAP mientras que OpenLDAP es exclusivo de LDAP. Los servicios de directorio multi protocolares se encuentran en aumento en popularidad mientras que las redes se expanden y dispersan, las compa帽铆as necesitan autentificar a los usuarios a un mayor n煤mero y m谩s extensa variedad de recursos, y los diferentes recursos tienden a funcionar mejor con diferentes protocolos.En ambientes con una fuerte dependencia de las aplicaciones en la cloud, las soluciones SAML y SSO son las m谩s convenientes. En este caso, tanto AD y OpenLDAP requieren una identidad adicional y una herramienta de gesti贸n de acceso. Idealmente, una herramienta IAM o directorio de servicio deber铆a ser capaz de autentificar y autorizar a los usuarios acceso a todos sus recursos TI, donde sea que se encuentren (incluyendo la cloud), empleando cualquier protocolo que mejor le convenga para la tarea. Esta es un 谩rea donde tanto OpenLDAP y AD no logran satisfacer.
Donde AD y OpenLDAP se Quedan Cortos
En muchos casos, ni AD ni OpenLDAP son la 煤nica opci贸n correcta para la gesti贸n de infraestructura de identidad de una organizaci贸n. A pesar de que tanto OpenLDAP como AD tienen a sus partidarios, la verdad es que se trata de sistemas anticuados y necesitan otras soluciones a su alrededor para completar la arquitectura IAM completa de una organizaci贸n.
Ambas tienen problemas en el uso. AD, mientras que resulta firme, puede tornarse compleja cuando se expande con accesorios como Azure AD para gestionar ambientes variados y dispersos. Adem谩s, mientras Microsoft aparentemente tiene un inter茅s en respaldar plataformas no basadas en Windows, existe tambi茅n el tir贸n dentro Microsoft para darle a Windows y Azure un trato como de ciudadanos de primera clase contra las soluciones de sus competidores.
Por otra parte, la flexibilidad de OpenLDAP puede resultar un reto y causar problemas para los menos expertos en tecnolog铆a. La configuraci贸n del servidor OpenLDAP puede resultar compleja, y puede ser dif铆cil estar a la altura de las dependencias de las aplicaciones, modificar la informaci贸n del directorio o esquemas, y mantener la integridad del directorio mientras que los negocios cambian y escalan. Adem谩s, la simple cuesti贸n de gestionar la infraestructura de OpenLDAP puede ser demandante, especialmente mientras m谩s organizaciones cambian la gesti贸n de tecnolog铆a a los proveedores y promotores de SaaS.
A pesar de que OpenLDAP puede funcionar en la cloud, solo utiliza el protocolo LDAP. Y a pesar de que AD usa otros protocolos como Kerberos, no resulta favorable a la cloud. Para integrarse a la cloud, AD requiere accesorios complejos como Azure 鈥攑ero incluso Azure no permite a las organizaciones separarse completamente de su directorio local (sin su especializado pago por hora de los casos de uso del directorio albergado, como los Servicios de Dominio Azure AD). AD tambi茅n requiere de accesorios importantes e integraciones para gestionar los dispositivos no basados en Windows. Mientras que el mundo emigra a la cloud, los negocios diversifican sus dispositivos y herramientas, y las aplicaciones requieren una mayor autenticaci贸n especializada y protocolos de autorizaci贸n, lo cual puede ser una desventaja importante.
Debido a que ninguna soluci贸n puede adoptar eficazmente los protocolos y compatibilidad de la cloud necesaria para conectarse a todos los recursos que el usuario necesite, ninguna ha podido centralizar por completo la gesti贸n de usuario. M谩s bien, ambas funcionan como herramientas dentro de un sistema IAM multi herramienta. Este sistema descentralizado de gesti贸n de usuario puede crear inconsistencias, vulnerabilidades de seguridad y trabajo extra de gesti贸n para equipos TI.
Una Mejor Opci贸n 鈥 La Plataforma de Directorio en la Cloud 黑料海角91入口
Para resolver los problemas de los sistemas descentralizados de gesti贸n de usuarios, sistemas operativos m煤ltiples, acceso de autenticaci贸n y autorizaci贸n para los recursos en la cloud o la infraestructura en la cloud h铆brida, y la necesidad de protocolos m煤ltiples, muchas compa帽铆as se est谩n cambiando a las plataformas de directorio en la cloud.
Con una plataforma de directorio basada en la cloud, los administradores TI ya no tienen que dar mantenimiento continuo al directorio local, y deben emplear un protocolo m煤ltiple, un sistema de gesti贸n de usuario centralizado en un OS agn贸stico el cual por lo regular se gestiona por medio de un GUI completo.
Cuando se considera AD, OpenLDAP y plataformas de directorio en la cloud -las tres opciones m谩s comunes de servicio de directorio- es importante considerar su infraestructura actual, as铆 como tambi茅n hacia donde desea que su organizaci贸n se dirija. Las compa帽铆as est谩n eligiendo cada vez m谩s los directorios en la cloud que combinen aspectos de los tres en una plataforma.
Una plataforma de directorio en la cloud puede ser lo mejor para su compa帽铆a si las cuestiones siguientes resultan verdaderas:
- Ha mezclado plataformas como los equipos Mac, Linux y Windows.
- Aprovecha aplicaciones SaaS.
- Impulsa una infraestructura en la cloud/cloud h铆brida o IaaS tales como AWS, Google Workspace, GitHub, Dropbox u otros.
- Soporta o planea soportar un trabajo remoto, h铆brido remoto o m贸vil. Los directorios en la cloud permiten a los usuarios el acceso a los mismos recursos en cualquier ubicaci贸n.
Con la plataforma de directorio 黑料海角91入口庐, por ejemplo, los administradores TI pueden conectar identidades de usuario a los recursos TI que necesitan sin importar la plataforma, proveedor, protocolo o ubicaci贸n. 黑料海角91入口 utiliza un enfoque de OS agn贸stico y de protocolo m煤ltiple, de esta manera no tiene que cambiar las soluciones de autenticaci贸n establecidas en su compa帽铆a, dispositivos, o aplicaciones en uso ahora. Tambi茅n incluye la gesti贸n de dispositivos m贸viles (MDM) y hace que la gesti贸n de directorio resulte f谩cil con un GUI completo que todav铆a permite a los administradores la opci贸n de ejecuci贸n de l铆nea de comando. Finalmente, puede incluso integrar un servicio de directorio existente como AD para 黑料海角91入口, de esta forma no debe desechar su directorio existente y empezar de cero.
Debido a que entendemos que al elegir su directorio o cambiar de proveedores resulta una decisi贸n dif铆cil, se la facilitamos permiti茅ndole a las compa帽铆as probar 黑料海角91入口 gratuitamente.
