談到雲端運算時,Lightweight Directory Access Protocol(LDAP)是員工目錄與使用者認證的基礎。無論是管理 AWS EC2 執行個體、VPN,還是舊版應用程式的登入,LDAP 都能全部搞定。
像 OpenLDAP 這類自行建置的 LDAP 解決方案,管理起來可能有些困難,而且所需的維護工作也相當繁瑣乏味。雖然整體而言非常耗時,但雲端 LDAP 已讓網路安全基礎架構中的關鍵一環更容易取得,可滿足任何企業的存取控制需求。
LDAP 建立於 1993 年,全名為 Lightweight Directory Access Protocol,是一種用於存取及管理目錄服務的標準應用程式通訊協定。LDAP 最初是為了簡化實作國際標準化組織(ISO)X.500 目錄服務標準而建立的。
LDAP 在用戶端幾乎不需要太多設定就能快速啟用,因此特別適合用於網路化的伺服器應用程式,也就是所謂的「精簡用戶端」應用程式。
可以把 LDAP 想像成一本巨大的虛擬電話簿。當您打開電話簿時,就等於突然取得一個大型通訊錄的存取權,而這正是數千人聯絡資訊(也就是他們的使用者認證)的關鍵。
LDAP 以樹狀結構儲存使用者認證,這個結構很自然地被稱為「Directory Information Tree」(簡稱 DIT)。樹狀結構的頂端始於 Root Distinguished Name,也稱為「Naming Context」或「Suffix」。
LDAP DIT 中的每個位置都對應其各自的 Distinguished Name(簡稱 DN)。舉例來說,DIT 中的使用者認證可依據主機網域、部門和人名進行儲存。
當您登入 LDAP 伺服器,準備開始搜尋使用者或群組時,這個動作稱為「繫結」。本質上,繫結就是驗證使用者密碼認證的過程。
每位使用者各項屬性的名稱在繫結後,會縮寫成便於記憶的字串,例如:「cn」代表「common name」、「sn」代表「surname」、「c」代表「country」、「mail」代表「email address」、「ou」代表組織單位,或「dc」代表「domain component」。
樹狀結構最上層的任何 DN 都會優先於下方的項目。因此,DIT 可以視為一種瀑布式結構,向下流動形成高度結構化、具階層順序的目錄系統。
事實上,DN 出現的位置本身就說明了它在目錄中的結構描述:以逗號分隔,並以等號在語法上列出搜尋條件。
example.com 的 DN 範例可能如下:
["uniqueIdentifier=85317,dc=person,s=state,c=us,dc=example,dc=com"]
完整的 DIT 結構描述可能如下:
如您所見,LDAP 不是那種能在一週內,甚至一個月內,就為整家公司上手並完成導入的東西。手動管理 LDAP 往往流程繁瑣,令人相當挫折。事實上,Foxpass 正是在那樣的挫折感中誕生的!
Foxpass 內建簡潔直觀的儀錶板,讓為員工指派群組和權限這件事比 OpenLDAP 輕鬆得多。
透過 Foxpass,幾分鐘內就能導入簡單易用的雲端 LDAP 解決方案,而不是 花上幾天或幾週。Foxpass 讓管理認證、存取與安全性比以往更輕鬆——親自試用看看,就知道差別。
升級安全性
準備好迎接最新的存取管理與網路安全方案了嗎?按這裡,了解 Foxpass 如何協助避免代價高昂的安全錯誤:
