LDAP（轻量级目录访问协议）是用户、设备和客户端与目录服务器通信的标准协议。LDAP协议帮助用户对IT资源进行身份验证和授权，这些资源包括服务器、应用程序、网络、文件服务器等。OpenLDAP和微软的ActiveDirectory（AD）是目前最流行的两大LDAP目录服务，这两个方案已经实现了工具、接口和其他附加功能。在本文中，我们将讨论这两者的区别。但首先，让我们分清一下LDAP和其他软件的区别。

LDAP与OpenLDAP、AD有什么区别？

LDAP是定义用户、设备和客户端如何与目录服务器通信的协议。它还为如何在目录中组织和展示信息提供了一个框架。这些框架灵活且可自定义，因此不同的目录可以应用不同的格式，但它们往往遵循分层次的树结构。使用LDAP，用户可以通过输入凭证访问IT资源。该协议搜索凭证并将其与LDAP服务器为身份验证用户存储的内容进行比较——如果用户名和密码与目录中列出的内容匹配，则LDAP将对用户进行身份验证。通过使用LDAP，企业可以集中控制身份验证服务，同时为用户提供快速访问网络上诸多IT资源的权限。LDAP协议不是软件，而是用于简化LDAP目录的创建、实施和管理的软件包。OpenLDAP是最早的软件实现之一。

LDAP和OpenLDAP有什么区别？

OpenLDAP是LDAP协议免费、开源的实现。因为它是一种常见的、免费的自由迭代产品，任何人都可以使用，故OpenLDAP有时就叫做“LDAP”。然而，它不仅仅是协议，也是轻量级的LDAP目录软件。OpenLDAP可以在任何平台上使用。与其他能提供更强大的功能（如GUI）以及通常是其他协议和功能的套件（通常成本较高）的实现相比，OpenLDAP是一个高度集中的LDAP选项，支持定制并适用于所有主要计算平台。虽然灵活性听起来像是一个优势（通常是这样），但它会使软件更难导航，再加上它缺乏接口，意味着它可能需要大量的专业知识来实现和管理。

OpenLDAP和AD有什么区别？

MicrosoftActiveDirectory(AD)是一种目录服务，可将用户和设备帐户数据存储在中央位置，用于基于Windows的网络、设备、应用程序和文件实现访问。AD比OpenLDAP功能更丰富：它包括一个GUI（图形用户界面）和更强大的配置功能，例如Windows设备的组策略对象。OpenLDAP仅使用LDAP协议，而AD还用了除LDAP之外的其他协议。事实上，LDAP并不是AD的主要协议；相反，它利用Microsoft专有的轻量级目录访问协议的实现，并主要使用Microsoft的专有身份验证协议Kerberos。虽然总体上看AD更强大，但OpenLDAP是专注于LDAP协议的产品，其提供的服务比AD要更广泛。当然，成本差异反映了更广泛的功能概念和Microsoft解决方案的商业性质：OpenLDAP是免费的，而AD不是。AD需要授权，并且由于它是在预置设备上运行，因此AD硬件和维护成本可能会增加。虽然AD提供了LDAP协议之外的更多功能，但OpenLDAP在实施方面更加灵活并且支持定制。在考虑这两者时，企业应该决定他们是倾向于灵活性(OpenLDAP)还是易用性(AD)。对于某些企业来说，OpenLDAP更合适。具体来说，对于利用基于Linux的系统和应用程序、网络设备以及NAS和SAN存储系统的企业来说，LDAP通常是这些IT资源的首选协议。此外，对于利用数据中心或“云基础设施即服务”技术的企业而言，使用OpenLDAP服务器往往比ActiveDirectory更有效。当然，ActiveDirectory也有自身优势。对于主要基于Windows并仅打算利用Azure云基础设施的企业而言，结合ActiveDirectory和AzureAD会更有益。但是，即使如此，许多IT企业仍选择使用OpenLDAP，因为AzureAD缺乏对云基础设施的LDAP支持。

（未完待续）