Я читал про LDAP по википедии, и я понимаю, что это такое. Однако то, чего я не понял, почему многие организации используют сервер аутентификации LDAP, имеют простую таблицу с идентификатором пользователя и хешированным паролем.Сервер аутентификации LDAP почему?
LDAP-сервер, безусловно, придает большую сложность инфраструктуре. Какая прибыль оправдывает эту дополнительную сложность?
LDAP сложный, но он приносит гораздо больше информации, чем просто централизованная аутентификация. Например, многие клиенты электронной почты могут подключаться к LDAP-поискам, чтобы найти других пользователей - например, искать сотрудника по имени, находить свой адрес электронной почты и номер телефона прямо со своего почтового клиента.
Кроме того, он является расширяемым - вы можете определить свои собственные типы объектов и сохранить их в каталоге, чтобы его можно было использовать для хранения четных данных, которые оригинальные разработчики не имели в виду при его разработке.
Например, машины OpenSolaris (и, следовательно, я полагаю, Solaris) могут захватывать значительную часть своей собственной конфигурации через LDAP.
При настройке LDAP не для слабонервных, и это не имеет большого значения для домашнего пользователя/небольшого количества машин, совокупная экономия на тысячах или десятках тысяч компьютеров может сделать его достойным, если его правильно ввести.
На уровне приложений ..
В доменной среде Windows может иметь смысл использовать LDAP в качестве средства для использования существующей информации Active Directory вместо дублирования всей вашей аутентификации.
Использование простой таблицы кажется хорошим началом, пока вам не понадобится использовать то же имя пользователя и пароль в других местах. Когда ваши другие системы (электронная почта, код, логин сервера, системы отслеживания ошибок/билетов и т. Д.) Начинают входить в микс, и вам нужно поддерживать все из них, подход к таблице будет неуправляемым быстро, потому что вам придется написать адаптер для все они подключаются к вашей таблице для авторизации. Использование ldap, который является стандартом и используется многими проектами, облегчит вам поддержку.
Таблица с именем и хешем не определяет схему аутентификации, она просто определяет хранилище для учетных данных. Аутентификация включает в себя протокол, позволяющий пользователю идентифицировать его, например, Kerberos или HTTP Digest. Организации, которые развертывают ldap, не используют, t разворачивают его для auth per se, они используют Kerberos для этого. Ldap используется для таких вещей, как управление организационной структурой пользователей (OU) или инвентаризация активов. После развертывания Kerberos для аутентификации и авторизации имеет смысл использовать LDAP в качестве хранилища организационной структуры, поскольку в большинстве случаев реализация ядра будет создавать ldap в любом случае, например. NT контроллеров домена.