说到云计算,轻量级目录访问协议(LDAP)是员工目录和用户凭据的基础。无论是管理 AWS EC2 实例、VPN,还是传统应用程序的登录,LDAP 都能统统搞定。
像 OpenLDAP 这样需要自行搭建的 LDAP 解决方案管理起来可能有些困难,而且所需的维护工作也相当繁琐乏味。尽管总体而言非常耗时,但云 LDAP 已让网络安全基础设施中的关键一环变得触手可及,可满足任何企业的访问控制需求。
LDAP 创建于 1993 年,全称为 Lightweight Directory Access Protocol,是一种用于访问和管理目录服务的标准应用协议。LDAP 是国际标准化组织(ISO)X.500 目录服务标准的一种简化实现。
LDAP 在客户端部署和运行所需的条件很少,因此特别适合网络化服务器应用,也就是所谓的“瘦客户端”应用。
可以把 LDAP 想象成一本巨大的虚拟电话簿。当你打开电话簿时,就会突然获得一个大型目录的访问权限,而这正是通往成千上万人联系信息(其用户凭据)的关键。
LDAP 以树状结构存储用户凭据,这种结构自然被称为“目录信息树”(简称 DIT)。树的顶层始于 Root Distinguished Name,也称为“命名上下文”或“后缀”。
LDAP DIT 中的每个位置都对应其各自的 Distinguished Name(简称 DN)。例如,DIT 中的用户凭据可按主机域、部门和人员姓名进行存储。
当您登录到 LDAP 服务器并准备发起对用户或组的搜索时,这一过程称为“绑定”。本质上,绑定就是对用户的密码凭证进行身份验证的过程。
绑定后,每个用户各属性的名称会缩写为便于记忆的字符串,例如:“cn”表示“common name”,“sn”表示“surname”,“c”表示“country”,�“mail”表示“email address”,“ou”表示组织单位,“dc”表示“domain component”。
树顶的任何 DN 都优先于其下方的条目。因此,可以将 DIT 视为一种瀑布式结构,逐级向下延伸,形成一个高度结构化、按层级顺序组织的目录系统。
事实上,DN 出现的位置本身就说明了它在目录中的架构:它位于逗号之间,并通过等号在语法上列出搜索条件。
example.com 的一个 DN 示例可能如下所示:
["uniqueIdentifier=85317,dc=person,s=state,c=us,dc=example,dc=com"]
一个完整的 DIT 架构可能如下所示:
如您所见,LDAP 并不是一种可以在一周内,甚至一个月内,就为整个企业轻松上手并完成部署的东西。手动管理 LDAP 往往流程复杂,而且让人非常头疼。事实上,Foxpass 正是在这种挫败感中诞生的!
Foxpass 内置了一个简洁直观的仪表盘,让为员工分配组和权限比 OpenLDAP 轻松得多。
借助 Foxpass,几分钟内即可部署简单易用的 Cloud LDAP 解决方案,而不是几天或几周。Foxpass 让凭证、访问和安全管理变得前所未有地轻松——亲自试试看,就知道了。
升级安全防护
准备好了解访问管理和网络安全的最新进展了吗?点击此处,了解 Foxpass 如何帮助避免代价高昂的安全错误:
