LDAP (Lightweight Directory Access Protocol) es un protocolo estándar para usuarios, dispositivos y clientes de comunicación con un servidor de directorio. El protocolo LDAP facilita al usuario la autenticación y autorización para los recursos de las tecnologías de la información, los cuales pueden incluir servidores, aplicaciones, redes, servidores de archivo y más.
Los proveedores han creado implementaciones de software de LDAP que incluyen equipamiento, interfaces y otras funcionalidades adicionales. Dos de las implementaciones más populares son OpenLDAP y el Microsoft Active Directory. En este artículo, analizaremos las diferencias entre las dos. Pero primero, aclaremos la diferencia entre LDAP y otras implementaciones de software.
¿Cuál es la diferencia entre LDAP y Softwares como OpenLDAP y El Active Directory?
LDAP es el protocolo que define cómo los usuarios, dispositivos y clientes se pueden comunicar con un servidor de directorio. Además otorga un marco de cómo se puede organizar la información y se representa dentro de un directorio. Estos marcos son flexibles y personalizables, de esta manera los diferentes directorios se pueden formatear de manera diferente, pero tienden a seguir una estructura de jerarquía de árbol. Conozca más acerca de la estructura del directorio LDAP en nuestro resumen completo de LDAP.
Con LDAP, los usuarios acceden a los recursos TI ingresando credenciales. El protocolo busca y compara las credenciales de las cuales el servidor LDAP ha almacenado para autentificar al usuario —si el nombre de usuario y la contraseña coinciden con el listado en el directorio, LDAP autentifica al usuario. Empleando LDAP, puede centralizar servicios de autenticación mientras les permite a los usuarios un rápido acceso a muchos de los recursos de la red.
El protocolo LDAP no es un software, pero paquetes de software han emergido para agilizar la creación, implementación y gestión en la creación de directorios LDAP. Una de las primeras implementaciones de esto fue OpenLDAP.
¿Cuál es la diferencia entre LDAP y OpenLDAP?
OpenLDAP es una implementación gratuita y de recurso abierto del protocolo LDAP. Debido a que es una iteración común y gratuita disponible a todos, OpenLDAP algunas veces se le llama solo “LDAP”. Sin embargo, es más que solo el protocolo; es el software versión ligera de directorio LDAP.
Se puede utilizar OpenLDAP en cualquier plataforma. En contraste de otras implementaciones que ofrecen características más robustas como un GUI y por lo regular un conjunto de otros protocolos y funcionalidades (generalmente con costo), Open LDAP es una opción altamente enfocada en LDAP que se personaliza y soporta todas las principales plataformas computacionales. Mientras que la flexibilidad puede sonar como un beneficio (y por lo general lo es), es posible que el software resulte más difícil de navegar. Esto, emparejado con su falta de interfaz, significa que requiere una notable experiencia para implementarlo y gestionarlo.
¿Cuál es la diferencia entre OpenLDAP y el Active Directory?
El Active Directory (AD) es un servicio de directorio que almacena el usuario e información de la cuenta del dispositivo en una ubicación central para una red basada en Windows, dispositivo, aplicación y acceso al archivo.
AD es más abundante en características que el OpenLDAP: incluye un GUI y características de configuración más firmes como Group Policy Objects para dispositivos Windows. Mientras que OpenLDAP solo utiliza el protocolo LDAP, AD utiliza otros protocolos además de LDAP. De hecho, LDAP no es el protocolo principal de AD; en cambio, impulsa una implementación del Lightweight Directory Access Protocol, propietario de Microsoft, y utiliza principalmente Kerberos, el protocolo principal de autenticación propietario de Microsoft.
Mientras que AD puede parecer más firme en general, el enfoque exclusivo de OpenLDAP en el protocolo LDAP le da mucho mayor intensidad que lo que ofrece AD.
Por supuesto, la diferencia de costo refleja la noción de una funcionalidad mucho más amplia y la naturaleza comercial de las soluciones de Microsoft: OpenLDAP es gratuito, y AD no lo es. AD requiere licencia, y debido a que opera en equipos locales, los costos del hardware de AD y el mantenimiento generan más gastos.
Mientras que AD ofrece más capacidades fuera del protocolo LDAP, OpenLDAP resulta más flexible y personalizable cuando se trata de implementación. Cuando se consideran estas dos, los negocios deben decidir si se interesan más en la flexibilidad (OpenLDAP) o en la facilidad de uso (AD).
Para algunas organizaciones, OpenLDAP es una mejor solución. Específicamente, para organizaciones que impulsan los sistemas basados en Linux y aplicaciones, equipos de red, y sistemas de almacenamiento NAS y SAN, LDAP por lo general es el protocolo preferido para esos recursos TI. Además, para las organizaciones que impulsan los centros de información o la tecnología de la infraestructura como un servicio en la cloud, impulsar un servidor OpenLDAP resulta comúnmente mucho más efectivo que el Active Directory.
Por supuesto, el Active Directory también tiene sus ventajas. Para las organizaciones que se basan en gran manera en Windows e intentan impulsar sólo la infraestructura Azure en la cloud, la combinación del Active Directory y Azure AD puede resultar muy beneficiosa. Incluso en este caso, muchas organizaciones TI optan por impulsar OpenLDAP, debido a que Azure AD carece de soporte LDAP para la infraestructura en la cloud.
¿Cuáles son las razones principales para Elegir OpenLDAP?
Muchas organizaciones optan por OpenLDAP debido a la flexibilidad y ahorro de costos. OpenLDAP es totalmente configurable para ingenieros calificados, convirtiéndola en una mejor opción para las organizaciones con nichos o necesidades específicas.
Además, es compatible con casi cada plataforma o sistema operativo (OS), mientras que AD funciona mejor con dispositivos Windows. Las organizaciones que usan o planean usar Mac, Linux u otros sistemas, por lo general eligen OpenLDAP. Aquellas con aplicaciones legales o aquellas que se basan en Linux por lo general elegirán OpenLDAP.
¿Porque Debería Considerar el Active Directory?
Si su entorno es completamente homogéneo y basado solo en Microsoft y Windows, AD puede resultar ser su mejor opción. En un ambiente de Windows, los administradores de TI pueden usar la consola de Usuarios y Computadoras del Active Directory basado en Windows y la consola de la computadora para ejecutar casi todas las tareas de gestión. Sin embargo, incluso en estos ambientes, necesita todavía considerar cómo manejar para las aplicaciones móviles y SaaS, soporte de dispositivos Mac y Linux, servidores de archivo no basados en Windows, y equipos de red, dado que AD por lo regular no los soporta sin integraciones o complementos.
AD ofrece un GUI de fácil uso para configurar ajustes y gestionar usuarios y grupos. Para aquellos que están menos experimentados en configurar software de fuente abierta, la falta de interfaz OpenLDAP puede resultar una batalla difícil, convirtiendo a AD en la mejor opción.
Mientras que OpenLDAP y el protocolo LDAP preceden la entrada de Microsoft al espacio de servicios del directorio, Microsoft AD se ha apropiado de la mayor proporción del mercado —a pesar de que, con la llegada de los directorios en la cloud el panorama IAM está empezando a cambiar. Esto, en combinación con su conjunto de herramientas de uso más fácil, lo puede convertir en una opción atractiva para las organizaciones centradas en Windows/Azure.
AD además ofrece más protocolos que tan solo LDAP mientras que OpenLDAP es exclusivo de LDAP. Los servicios de directorio multi protocolares se encuentran en aumento en popularidad mientras que las redes se expanden y dispersan, las compañías necesitan autentificar a los usuarios a un mayor número y más extensa variedad de recursos, y los diferentes recursos tienden a funcionar mejor con diferentes protocolos.En ambientes con una fuerte dependencia de las aplicaciones en la cloud, las soluciones SAML y SSO son las más convenientes. En este caso, tanto AD y OpenLDAP requieren una identidad adicional y una herramienta de gestión de acceso. Idealmente, una herramienta IAM o directorio de servicio debería ser capaz de autentificar y autorizar a los usuarios acceso a todos sus recursos TI, donde sea que se encuentren (incluyendo la cloud), empleando cualquier protocolo que mejor le convenga para la tarea. Esta es un área donde tanto OpenLDAP y AD no logran satisfacer.
Donde AD y OpenLDAP se Quedan Cortos
En muchos casos, ni AD ni OpenLDAP son la única opción correcta para la gestión de infraestructura de identidad de una organización. A pesar de que tanto OpenLDAP como AD tienen a sus partidarios, la verdad es que se trata de sistemas anticuados y necesitan otras soluciones a su alrededor para completar la arquitectura IAM completa de una organización.
Ambas tienen problemas en el uso. AD, mientras que resulta firme, puede tornarse compleja cuando se expande con accesorios como Azure AD para gestionar ambientes variados y dispersos. Además, mientras Microsoft aparentemente tiene un interés en respaldar plataformas no basadas en Windows, existe también el tirón dentro Microsoft para darle a Windows y Azure un trato como de ciudadanos de primera clase contra las soluciones de sus competidores.
Por otra parte, la flexibilidad de OpenLDAP puede resultar un reto y causar problemas para los menos expertos en tecnología. La configuración del servidor OpenLDAP puede resultar compleja, y puede ser difícil estar a la altura de las dependencias de las aplicaciones, modificar la información del directorio o esquemas, y mantener la integridad del directorio mientras que los negocios cambian y escalan. Además, la simple cuestión de gestionar la infraestructura de OpenLDAP puede ser demandante, especialmente mientras más organizaciones cambian la gestión de tecnología a los proveedores y promotores de SaaS.
A pesar de que OpenLDAP puede funcionar en la cloud, solo utiliza el protocolo LDAP. Y a pesar de que AD usa otros protocolos como Kerberos, no resulta favorable a la cloud. Para integrarse a la cloud, AD requiere accesorios complejos como Azure —pero incluso Azure no permite a las organizaciones separarse completamente de su directorio local (sin su especializado pago por hora de los casos de uso del directorio albergado, como los Servicios de Dominio Azure AD). AD también requiere de accesorios importantes e integraciones para gestionar los dispositivos no basados en Windows. Mientras que el mundo emigra a la cloud, los negocios diversifican sus dispositivos y herramientas, y las aplicaciones requieren una mayor autenticación especializada y protocolos de autorización, lo cual puede ser una desventaja importante.
Debido a que ninguna solución puede adoptar eficazmente los protocolos y compatibilidad de la cloud necesaria para conectarse a todos los recursos que el usuario necesite, ninguna ha podido centralizar por completo la gestión de usuario. Más bien, ambas funcionan como herramientas dentro de un sistema IAM multi herramienta. Este sistema descentralizado de gestión de usuario puede crear inconsistencias, vulnerabilidades de seguridad y trabajo extra de gestión para equipos TI.
Una Mejor Opción – La Plataforma de Directorio en la Cloud JumpCloud
Para resolver los problemas de los sistemas descentralizados de gestión de usuarios, sistemas operativos múltiples, acceso de autenticación y autorización para los recursos en la cloud o la infraestructura en la cloud híbrida, y la necesidad de protocolos múltiples, muchas compañías se están cambiando a las plataformas de directorio en la cloud.
Con una plataforma de directorio basada en la cloud, los administradores TI ya no tienen que dar mantenimiento continuo al directorio local, y deben emplear un protocolo múltiple, un sistema de gestión de usuario centralizado en un OS agnóstico el cual por lo regular se gestiona por medio de un GUI completo.
Cuando se considera AD, OpenLDAP y plataformas de directorio en la cloud -las tres opciones más comunes de servicio de directorio- es importante considerar su infraestructura actual, así como también hacia donde desea que su organización se dirija. Las compañías están eligiendo cada vez más los directorios en la cloud que combinen aspectos de los tres en una plataforma.
Una plataforma de directorio en la cloud puede ser lo mejor para su compañía si las cuestiones siguientes resultan verdaderas:
- Ha mezclado plataformas como los equipos Mac, Linux y Windows.
- Aprovecha aplicaciones SaaS.
- Impulsa una infraestructura en la cloud/cloud híbrida o IaaS tales como AWS, Google Workspace, GitHub, Dropbox u otros.
- Soporta o planea soportar un trabajo remoto, híbrido remoto o móvil. Los directorios en la cloud permiten a los usuarios el acceso a los mismos recursos en cualquier ubicación.
Con la plataforma de directorio JumpCloud®, por ejemplo, los administradores TI pueden conectar identidades de usuario a los recursos TI que necesitan sin importar la plataforma, proveedor, protocolo o ubicación. JumpCloud utiliza un enfoque de OS agnóstico y de protocolo múltiple, de esta manera no tiene que cambiar las soluciones de autenticación establecidas en su compañía, dispositivos, o aplicaciones en uso ahora. También incluye la gestión de dispositivos móviles (MDM) y hace que la gestión de directorio resulte fácil con un GUI completo que todavía permite a los administradores la opción de ejecución de línea de comando. Finalmente, puede incluso integrar un servicio de directorio existente como AD para JumpCloud, de esta forma no debe desechar su directorio existente y empezar de cero.
Debido a que entendemos que al elegir su directorio o cambiar de proveedores resulta una decisión difícil, se la facilitamos permitiéndole a las compañías probar JumpCloud gratuitamente. Comience con JumpCloud hoy.