探究 LDAP 協定的常見用例與發展方向

前幾期文章介紹了輕量級目錄通路協定（LDAP）的起源、基本概念和基礎用例。在日新月異的現代身份管理環境中，各種新的現代身份驗證協定層出不窮，很多人想知道 LDAP 是否仍然适用。為了解答這一問題，本期将深入探究 LDAP 的一些常見用例，并展望其未來發展方向——基于雲的 LDAP 即服務。

1. LDAP 常見用例

回到開頭的問題，LDAP 究竟适用哪些場景？雖然 LDAP 屬于遺留協定的一種，但在驗證 Linux 應用以及許多開源解決方案時的表現仍然非常出色。通過 LDAP 進行身份驗證的用例包括：

• OpenVPN
• Jenkins
• Kubernetes
• Docker
• Atlassian Jira & Confluence
• Linux Samba 伺服器和商用分布式網絡附屬存儲（NAS）裝置，如 Synology 或 QNAP

從上述清單可以看出，LDAP 依然用途廣泛，目前有數千個附加應用可以使用 LDAP 進行內建。

2. 在多協定環境中使用 LDAP

第二個問題，在現代 IT 環境中，企業可以如何應用 LDAP？由于每個 IT 資源似乎都有各自傾向的協定，結果就導緻企業需要使用各種身份驗證協定，除了 LDAP 以外還包括 SAML、RADIUS、OAuth 等。更深層次的影響就是管理者和開發運維工程師需要實作每個協定。這種現象被稱為“身份管理孤島”，大大增加了管理的時間成本。

上述協定中并沒有哪個協定完全獨占，是以企業應采用可以管理多協定的身份和通路管理方案。本文的最後就将讨論企業如何通過支援多協定的單一平台統一管理 IT 資源。

3. LDAP 的影響

LDAP 在誕生之初就引起了不小的轟動，并迅速傳播到世界各地，為企業提供開源和非商業化的目錄。此外，LDAP 還提供了一種管理開源 Linux 叢集的方式，Linux 叢集是90年代中期網際網路快速擴充的技術基礎。而 LDAP 可以模仿 SuSe Linux 和 HP-UX，作為後者低成本、輕量級和開源的替代方案。

當時微軟 Active Directory 是基于 Windows 的首選本地目錄方案，但 LDAP 随着伺服器、Linux/Unix 應用、網絡裝置、檔案伺服器等開發運維基礎設施的不斷發展而大量鋪開。

4. LDAP 與 IT 轉型

過去十年，亞馬遜 AWS、谷歌 G Suite、微軟 Office 365、Web 應用、Samba 檔案伺服器/NAS 裝置、WiFi無線網絡、蘋果macOS 和 Linux 系統等雲基礎設施陸續加入，給IT 環境帶來了巨大變化。IT 環境變化的同時，大量身份驗證協定也層出不窮，從 SAML、OAuth 到 OpenID Connect 等等。

IT 環境的轉變過程中，像 LDAP 這樣的遺留協定很容易被遺忘，但總體來看，LDAP 一直都在投入使用，甚至包括現代雲原生企業也在使用。簡單來說，LDAP 如此堅挺的原因和最初流行的原因是一樣的——輕量化、自适應性和基礎性。當然，使用慣性也是一個重要因素。有些企業即便想擺脫 LDAP，使用者和管理者也不願意，因為 LDAP 早已和企業的基礎設施深度融合，密不可分了。

5. LDAP 的發展方向

• 無需本地伺服器，省去配置管理步驟
• LDAPS 和 Start TLS 確定資料傳輸安全
• 自動負載平衡、彈性擴充和備援
• 可擴充使用者屬性，包括員工 ID、職位、部門、位置等
• 基于标準 LDAP 的模式和目錄結構
• 區域負載平衡保障高性能
• 利用 groupOfNames 和 memberOf 對象類滿足授權需求