在上期《微软AD要素介绍》中,介绍了微软 AD 的各个构成要素,以及 AD 的主要运行原理。在此基础上,本期将对微软 AD 中经常被混淆的概念进行辨析区分。
1. Active Directory 是单点登录(SSO)平台吗?
在标准的单点登录产生以前,Active Directory 基本就是单点登录平台。换句话说,AD 可以为用户提供单点登录体验,支持用户集中访问数据库中所有基于 Windows 的资源,这些资源一般在本地或是对接到 AD 域。 但是,目前业界通常认为的单点登录(Web 应用 SSO)和 AD 有很大的区别:传统单点登录在2005年左右推出,驱动因素在于当时的 AD 无法验证用户的 Web 应用登录。在今天,很多企业仍然使用 Web 应用 SSO 门户作为 AD 的补充。 后来,新的业务需求又不断推动单点登录的概念扩展到设备、网络、文件服务器等场景,因此现代化的单点登录不仅仅是访问 Windows 资源或 Web 应用。对于用户和 IT 资源遍布世界各地的现代企业而言,单点登录的概念涵盖范围更广,也更重要。
2. Active Directory 是软件吗?
是的,Active Directory 是一款软件,可在 Windows 服务器硬件上安装、维护和更新。AD 软件通过客户端访问许可证(CAL)等机制获得许可。AD 软件的许可相当复杂,因此最好与微软经销商确认。 此外,AD 软件和硬件并不构成一个完整的解决方案,另外还需要购买其他组件帮助运行 AD,包括备份、安全性、远程访问、高可用性等解决方案。
3. Active Directory 是服务器吗?
AD 不完全是服务器,它需要 Windows 服务器才能运行。如上文提到的,运行 AD 域服务软件的服务器称为域控制器,这里的服务器可以是本地的物理硬件也可以是虚拟机。
4. Active Directory 是数据库吗?
准确来说,AD 包含一个数据库,用于存储网络中所有用户、组、系统、打印机和策略。这些存储的内容被称为对象,管理员可以使用 AD 操作这些对象。
5. Azure Active Directory 是开源的吗?
AD 是由微软独家开发的,其代码尚未对外公开。AD 的主要开源替代方案是 OpenLDAP,其他包括 FreeIPA、Samba、389 Directory 等。想了解更多有关 OpenLDAP 和 AD 的信息可查看文末的相关阅读。
6. Active Directory 是 LDAP 目录服务器吗?
AD 不是 LDAP目录服务器,但会用到 LDAP 协议。AD 是一种目录服务,通过 LDAP 协议进行通信并管理对相关资源的访问。AD 使用的主要协议是微软专用版本的 Kerberos 协议。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解微软AD更多内容,可前往宁盾官网博客解锁更多干货)