• Hexite Software Blog Nieuws en berichten

Category Archives: Authenticatie

ldap-ad-image

LDAP en Active Directory, hoe en wat.

Active Directory is een product van Microsoft dat wordt gebruikt om IT-middelen zoals gebruikers, computers en printers te organiseren. Het integreert direct met Microsoft producten.

Lightweight Directory Access Protocol (LDAP) is een protocol, geen dienst. LDAP wordt gebruikt om met verschillende typen mappen te praten en ernaar te zoeken (inclusief Microsoft AD).

De volgende twee hoofdstukken gaan in op de verschillen en overeenkomsten van LDAP en Active Directory.

Active Directory

Wanneer u veelvoudig gebruik maakt van Microsoft producten maakt u hoogstwaarschijnlijk ook gebruik van Microsoft Active Directory. Denk hierbij aan producten zoals Sharepoint, Windows Server en Exchange.

Het doel van active directory is om gebruikers te ontzorgen. Gebruikers willen namelijk geen apart wachtwoord gebruiken voor elke applicatie waartoe ze toegang hebben. Daarbij wilt een IT-beheerder ook gebruikers verdelen in groepen, die toegang hebben tot computers en systemen.

Active Directory is gemaakt om het beheer van gebruikers en computers laagdrempelig en makkelijk te maken door informatie over hen op te slaan in een enkele map (directory).

De werking van active directory

Active Directory deelt de activa op in drie lagen:

Domeinen: gebruikers (zoals werknemers) en apparaten (zoals computers) die dezelfde Active Directory-database delen, maken deel uit van een domein. Een domein wordt meestal geassocieerd met een bedrijf of een organisatie in een bedrijf, zoals het ‘management domein’.

Active Directory bevat ook beveiligingsfuncties, waaronder:

authenticatie: Gebruikers moeten de relevante referenties verstrekken voordat ze toegang kunnen krijgen tot bronnen op het netwerk.

Beveiligingsgroepen: IT-beheerders organiseren gebruikers in groepen. De groepen worden vervolgens toegewezen aan apps om het beheer te minimaliseren.

Groepsbeleid: Er is een groot aantal basisregels in Active Directory die bepalen wie toegang heeft tot computers of andere instellingen kan configureren. Active Directory ondersteunt verschillende methodes om gebruikers te verifiëren. Active Directory LAN Manager, NTLM en Kerberos zijn technieken ondersteund door Active Directory. Elke keer breidde het protocol verder uit om bruikbaarder en veiliger te zijn.

Het belangrijkste doel van Active Directory is om alle Microsoft gerelateerde technologieén samen te brengen, zodat gebruikers op een laagdrempelige manier toegang hebben tot bronnen; beheerders de toegang veilig kunnen instellen.

LDAP

LDAP is een protocol dat is ontworpen voor toepassingen om zeer snel en op grote schaal gebruikersinformatie op te vragen. Het was ideaal voor zoiets als de telecommunicatie- of luchtvaartindustrie.

Active Directory is ontworpen voor ondernemingen met misschien een lager aantal werknemers en computers. LDAP is een protocol dat was ontworpen voor toepassingen die de draadloze telefoonproviders van stroom voorzien en die destijds miljoenen verzoeken moesten verwerken om abonnees van de telefoonnetwerken te authenticeren.

Waar Active Directory “closed source” is, is LDAP een open source protocol. In de praktijk is Active Directory geïmplementeerd met LDAP-ondersteuning, zodat applicaties met LDAP ondersteuning kunnen werken met een bestaande Active Directory-omgeving.

Als protocol richt LDAP zich voornamelijk op:

  • Directory structuur. Elke directory heeft kenmerken en is toegankelijk via een unieke DNdie wordt gebruikt bij het opvragen van de directory;
  • Gegevens toevoegen, bijwerken en lezen. LDAP is geoptimaliseerd voor snel zoeken en lezen van gegevens;
  • authenticatie. In LDAP “bind” de gebruiker zich aan de service. Deze authenticatie kan een eenvoudige gebruikersnaam en wachtwoord, een certificaat of een token zijn;
  • Zoeken. Een gebied waar LDAP sterk uit de verf komt, is zoeken. Op LDAP gebaseerde servers zijn doorgaans ontworpen voor complexe zoekopdrachten; dat zijn meestal zoekopdrachten naar documenten. Dit verschilt echter per organisatie.