LDAP身份验证前世今生

轻量级目录访问协议（LDAP）是专为目录服务开发的核心身份验证协议之一。LDAP 历来被用作信息数据库，主要存储以下信息：

● 用户

● 关于这些用户的属性

● 组成员特权

● ……

但 LDAP 认证是什么，它是如何工作的？本文将回答这些问题，并阐述 NingDS 身份目录云平台是如何将 LDAP 身份认证作为云服务来提供的。

01 LDAP的起源

在我们定义 LDAP 身份认证是什么之前，我们应该谈谈 LDAP 作为一个整体的重要性。根据 LDAP 协议的共同发明者Tim Howes的说法，LDAP 诞生于密歇根大学，Tim当时是一名研究生，最初是为了替换 DAP（目录访问协议）并为X.500目录提供低开销的访问——LDAP最终将取代该目录服务。

LDAP 自1993年首次推出以来一直非常成功。实际上，LDAP.v3 在1997年成为目录服务的互联网标准。LDAP 还启发了 OpenLDAP 的创建，这是一个领先的开源目录服务平台。

这反过来又催生了许多其他基于LDAP的开源解决方案（如389目录、Apache 目录服务），并为微软 Active Directory（AD）的创建奠定了基础。LDAP 甚至是现代云目录（如NingDS）的核心方面，提供云LDAP。因此，尽管它有些年头了，但可以肯定的是，未来几年 LDAP 认证将成为身份管理的基本要素。

02 基本的LDAP认证和常见挑战

LDAP 目录服务器使用灵活的架构，意味着它们可以用企业需要的格式来存储各种属性，包括用户凭据、电话号码、组关联等。因此，常见的 LDAP 用例是存储核心用户身份。

由于 LDAP 目录可以存储用户数据和凭证，因此它们可以作为 LDAP 身份认证的真实来源。在 LDAP 身份认证过程中，用户通过系统或应用输入其凭证，然后将其与存储在 LDAP 目录数据库中的凭据进行比较。如果匹配，用户将通过身份认证并被授予访问权限。

03 客户端和服务器之间的LDAP认证是如何工作的？

让我们来分解下 LDAP 的认证过程。

LDAP 身份认证是通过绑定操作完成的，它遵循客户端/服务器模型。通常，客户端是用户访问的支持 LDAP 协议的系统或应用，服务器是 LDAP 目录数据库。

要进行身份验证，客户端会向 LDAP 服务器发送绑定请求，以及用户的标识符（即用户名或电子邮件）和密码，这些信息是在用户输入其凭据时由客户端获取的。如果用户提交的凭据与存储在 LDAP 数据库中的核心用户身份相关联的凭据匹配，则对用户进行身份验证，并通过客户端获得对所请求的资源或信息的访问权限。如果发送的凭据不匹配，则绑定失败并拒绝用户访问。

注意：企业应采取一些预防措施来保护他们的 LDAP 身份认证过程，例如禁止匿名 LDAP绑定和加密数据传输。

04 实施LDAP需要什么？

虽然 LDAP 身份认证已被证明是有效的，但为了满足现代企业的身份管理需求而实施和定制基于 LDAP 的基础设施所需的时间和精力可能会很大。历史上，LDAP 也是一个本地实现，需要专用服务器，且必须集成到企业的整体身份管理基础设施中（历史上也是本地实现）。

这种类型的设置可能很难实现，特别是对于规模较小或以云端业务为主的IT企业。毕竟，大多数现代企业都希望将其整个本地身份管理基础设施迁移到云中。然而，随着更多企业用云方案替换传统的本地基础设施，问题就变成了：“如何在没有任何本地设备的情况下提供 LDAP 身份验证？”

05 基于云的LDAP身份认证

幸运的是，基于云的目录和开放目录平台已经出现，它们可以提供基于云的 LDAP 身份验证服务。例如，NingDS 身份目录云不仅提供基于云的 LDAP 身份验证，还可以安全地管理和连接用户到系统、应用程序、文件和网络，而无需任何本地设施。这是因为 NingDS 采用了开放目录的方法，企业可以按照自己的方式管理工作。NingDS 可以作为你的核心身份提供商，或与其他提供商无缝集成，通过利用多个协议（LDAP、SAML、RADIUS、SSH、OAuth等）连接用户到他们所需的所有资源，并兼容与操作系统不相关的设备。最终的结果是，IT 企业可以自由地利用最好的资源，通过 NingDS 他们可以有效地管理尽可能少或尽可能多的资源。

此外，NingDS 不仅包括云LDAP，它还允许 IT 管理员使用多因素身份验证（MFA）、单点登录SSO、无线 WiFi 网络认证以及完整的云目录服务等所有功能。