active-directory - 事件目录与 OpenLDAP

Question

这两种 LDAP 协议(protocol)实现之间的主要区别是什么？异构环境哪个更好？关于这个主题有什么好的网站吗？

Answer 1

以下是我立即知道的一些差异。 OpenLDAP 可以称为通用 LDAP 服务器，类似于许多其他供应商的 LDAP 服务器(Fedora DS 389、Oracle Internet Directory、IBM Tivoli Directory Server)。 Active Directory 针对 Microsoft 产品套件进行了更多定制(即:运行 Microsoft 域)。各有利弊。

OpenLDAP 在安装后是空的并且没有结构(称为 DIT)。它甚至没有开箱即用的根条目。 AD 将附带一个基本结构，并准备好 GUI 工具供您开始填充用户。 OpenLDAP 和其他人希望您手动创建 DIT，因此您必须设计一个结构。因此，您必须计划将用户、组、角色放置在何处，并考虑 ACL 或分支委派(如果您的项目涉及此类内容)。例如，您可能有一个 widgets.com 域。在 AD 中，交付的结构将如下所示:

+ dc=widgets,dc=com
|-- cn=Computers
|-- cn=Users
|-- cn=Groups

在 OpenLDAP(或其他普通实现)中，您可以通过多种方式设计 DIT。您可以遵循域组件 (dc=foo,dc=bar) 约定，也可以使用按地理区域组织的内容 (o=foo,c=bar)。这并不重要，但您应该选择其中之一。 AD 使用 DC 约定，并且不给您选择，但其他 LDAP 服务器可以遵循任一约定。如果您想融入大型 MS 领域，我会坚持使用 DC 约定，以实现一致性和易于集成。但在本例中，我们假设我们的公司组织 (o) 位于一个国家 (c)，没有任何地区或单位 (ou):

+ o=widgets,c=us
|-- cn=Machines
|-- cn=People
|-- cn=Groups
|-- cn=Roles

然后您可以根据需要扩展您的架构。如果您想扩展 AD 架构，AD 将要求您通过 Active Directory 架构编辑器 MMC 控制台插件(创建自定义 MMC)添加架构元素。之后，就非常简单了。首先定义属性，然后定义对象类。 OpenLDAP 要求您编写 LDIF(还需要首先是属性，然后是对象类)。或者将 Apache Directory Studio 与 OpenLDAP 结合使用，这是一个很棒的 GUI 和管理工具，使 OpenLDAP 具有接近 AD 的易用性。

AD 不允许您匿名查询 389 上的所有内容。如果您想获取架构信息(称为目录)，您必须在 3289 上查询并进行身份验证。这让我想起 LDAP 的 DIB 与 DIT 隐藏，但我不知道 AD 是否试图在这里做同样的事情。

AD 的默认查询限制为 1,000 ( default MaxPageSize )。如果您想一次性吸收所有内容，则必须在客户端或代码中使用分页控件，或者修改您正在搜索的域 Controller 上的默认查询限制。请注意，分页控件可能会出现问题。我已经使用 Netscape 库让它们在 Java 中工作，但一些 LDAP 客户端似乎无法正常工作，即使它们声称支持分页控件 (YMMV)。

AD的认证有点奇怪。您可以使用电子邮件格式的用户名 (-D username@domain) 进行身份验证，也可以使用完整的用户 DN。如果 OpenLDAP 有办法做到这一点，我不知道该怎么做，但我不会打扰。与其他 LDAP 服务器相比，这很奇怪。普通 LDAP 通常遵循 DN 格式 (cn=username,cn=Users,o=widgets,c=us)。

我想简而言之，AD 是固执己见的，而 OpenLDAP 是通用的。正因为如此，AD很容易站起来，而OpenLDAP可以更灵活。