我们的一位客户将身份验证从 LDAP 切换到集成 Windows 身份验证 (IWA)。但我不知道在程序员看来它们之间究竟有什么区别。集成 Windows 身份验证如何工作?与 LDAP 相比,使用 IWA 有哪些优势?
2 回答
Windows 身份验证是基于操作系统的身份验证,其中涉及 Windows 验证用户提供的主体(例如,用户名、ID 等)和凭据(例如,密码、生物特征数据等)针对其可能是本地的用户注册表。LDAP 是一种协议(也是 IETF 标准),它定义了访问目录服务的元素、控制和操作。LDAP 操作之一称为“绑定”,可以是“简单”或“SASL”。简单的 LDAP 绑定可以是匿名的、未经身份验证的和经过身份验证的(即,专有名称和密码)。LDAP“认证绑定”或“SASL 绑定”的结果就是您所说的“通用 LDAP 认证”。请参阅 RFC 4511和4513有关 LDAP“绑定”如何工作的更多信息。本地操作系统身份验证可能更快、更可靠(就高可用性而言,因为用户注册表存储在本地并且始终可用)。但是,如果用户数量很大,操作系统用户注册表就不容易维护和扩展。LDAP 目录服务可以充当数千个用户的单一、权威的用户注册表,并且可以被许多应用程序、中间件和系统(硬件和/或操作系统)访问,而无需专有库或访问方案。包括 Windows 在内的许多操作系统都可以配置为使用 LDAP 目录作为其用户注册表,以实现更有效的身份管理。
另一个原因可能是:
要对组织中的 Mac 和 Linux 用户进行身份验证,我们不能使用 Windows 身份验证