Я читал о LDAP в википедии, и я понимаю, что это такое. Однако я не понял, почему многие организации используют сервер аутентификации LDAP, имея простую таблицу с идентификатором пользователя и хешированным паролем.
Сервер LDAP, безусловно, придает большую сложность инфраструктуре. Какая прибыль оправдывает эту дополнительную сложность?
LDAP сложный, но он привносит гораздо больше в таблицу, чем просто централизованную аутентификацию. Например, многие клиенты электронной почты могут подключаться к LDAP-поискам для поиска других пользователей - например, искать сотрудника по имени, находить свой адрес электронной почты и номер телефона прямо со своего почтового клиента.
Кроме того, он расширяем - вы можете определить свои собственные типы объектов и сохранить их в каталоге, чтобы его можно было использовать для хранения четных данных, которые не имели в виду первоначальные разработчики при разработке.
Например, машины OpenSolaris (и, следовательно, я полагаю, Solaris) могут захватывать значительную часть своей собственной конфигурации по LDAP.
При настройке LDAP не для слабонервных, и это не имеет большого значения для домашнего пользователя/небольшого количества машин, совокупная экономия на тысячах или десятках тысяч компьютеров может сделать его оправданным при правильном управлении.
Использование простой таблицы кажется хорошим началом, пока вам не понадобится использовать то же имя пользователя и пароль в других местах. Когда ваши другие системы (электронная почта, код, логин сервера, системы отслеживания ошибок/билетов и т.д.) Начинают входить в микс, и вам нужно поддерживать все из них, подход к таблице будет неуправляемым быстро, потому что вам придется написать адаптер для все они подключаются к вашей таблице для авторизации. Использование ldap, который является стандартом и используется многими проектами, облегчит вам поддержку
Таблица с именем и хешем не определяет схему аутентификации, она просто определяет хранилище для учетных данных. Аутентификация включает в себя протокол для пользователя, позволяющий идентифицировать его, например, Kerberos или HTTP Digest. Организации, которые развертывают ldap, не используют, t разворачивают его для auth per se, они используют Kerberos для этого. Ldap используется для таких вещей, как управление организационной структурой пользователей (OU) или инвентаризация активов. После развертывания Kerberos для аутентификации и авторизации имеет смысл использовать LDAP в качестве хранилища организационной структуры, поскольку в большинстве случаев реализация ядра будет создавать ldap в любом случае, например. NT контроллеров домена.
На уровне приложения..
В среде домена Windows может иметь смысл использовать LDAP в качестве средства для использования существующей информации Active Directory вместо дублирования всей вашей аутентификации.