ADAudit Plus

Lightweight Directory Access Protocol (LDAP)

O LDAP, ou Lightweight Directory Access Protocol, é um protocolo padrão de acesso a diretórios que permite a consulta e a atualização de informações armazenadas em diretórios distribuídos, como serviços de diretório. Esses serviços de diretório são frequentemente utilizados para armazenar informações sobre usuários, grupos, dispositivos e outros recursos de uma rede. O LDAP é projetado para ser eficiente e leve, facilitando a integração em ambientes de rede.

    As funções que ele desempenha são:

  • Auxiliar na autenticação e autorização de usuários, permitindo-lhes acessar e modificar dados e recursos na rede.
  • Fornecer uma linguagem de comunicação para que os clientes interajam com os servidores e solicitem as informações necessárias do serviço de diretório.

Aplicações do LDAP

O LDAP viabiliza que, por meio de uma única autenticação, usuários autorizados possam validar o acesso a diferentes aplicações e serviços, eliminando a necessidade de realizar novos procedimentos de "login".

Além disso, o protocolo LDAP pode ser aplicado para executar operações em um banco de dados no servidor de diretório, autenticar ou "vincular" sessões em andamento. Dentre suas funcionalidades, destaca-se a capacidade de bloquear acessos, realizar pesquisas e comparações de entradas usando diferentes comandos, modificar entradas existentes, estender entradas, abandonar transações ou desvincular operações.

Embora seja comumente associado ao Active Directory da Microsoft, o protocolo LDAP também é utilizado em outras ferramentas, como OpenLDAP, Red Hat Directory Server e IBM Security Directory Server.

Níveis de Diretório LDAP

Uma configuração LDAP segue uma organização hierárquica em forma de "árvore", composta pelos seguintes níveis:

É possível distribuir um diretório LDAP entre diversos servidores. Cada servidor pode conter uma versão replicad a do diretório completo, sincronizando-se periodicamente.

Active Directory (AD)

O Active Directory (AD) é um serviço de diretório desenvolvido pela Microsoft e incorporado em seus sistemas operacionais Windows Server. Fornecendo uma plataforma mais abrangente para gerenciar recursos em uma rede Windows.

O Active Directory é uma implementação específica do serviço de diretório, construída sobre o protocolo LDAP, mas também incorpora outros protocolos, como Kerberos para autenticação. Ele oferece recursos avançados, incluindo políticas de grupo, serviços de certificados, serviços de domínio e muito mais. O AD é amplamente utilizado em ambientes empresariais que dependem de tecnologias Microsoft, proporcionando uma solução centralizada para gerenciamento de identidade e acesso.

Estrutura do Active Directory

Usuários e Computadores:

Esses elementos representam contas específicas de usuários ou computadores dentro da empresa. Cada conta de usuário é caracterizada por seus atributos, como nome, endereço de e-mail, localização, entre outros.

Unidades Organizacionais (OU):

São utilizadas para organizar usuários, grupos, computadores e outras unidades organizacionais, proporcionando uma estrutura organizada.

Domínios:

São coleções que agrupam usuários, grupos, computadores e Unidades Organizacionais (OU) de forma organizada.

Árvores:

Os domínios do AD são agrupados em árvores. O objetivo dos administradores é manter o número mínimo de domínios e tê-los todos agrupados logicamente em árvores.

Floresta:

Os parâmetros de segurança em um ambiente AD são delimitados por florestas, que consistem em uma coleção de diversas árvores. A interação entre duas florestas requer o estabelecimento de uma autoridade de confiança transitiva. A floresta geral representa uma organização e constitui o nível mais elevado na definição da arquitetura do AD.

Em contextos empresariais, como fusões e aquisições, é possível combinar várias florestas, proporcionando aos administradores de rede controle total sobre todos os domínios, Controladores de Domínio (DCs) e dados do AD envolvidos. Cada floresta é distintamente identificada pelo primeiro domínio criado, ou seja, o nome do domínio raiz.

Características

LDAP

  • Escalabilidade e arquitetura flexível
  • Entradas únicas através de modelo de nomenclatura global.
  • Está disponível como software de código aberto.
  • É leve, rápido e altamente escalonável.
  • Não é adequado para aplicações em nuvem e baseados na web.
x

Active Diretory

  • Repositório centralizado de informações sobre usuários, computadores, impressoras e outros dispositivos em uma rede Windows.
  • É personalizável, facilitando o uso, o gerenciamento e o controle de acesso.
  • Aproveita níveis de confiança e extensas políticas de grupo para fornecer forte.
  • Redução de vulnerabilidades de segurança, visto que as políticas de segurança são aplicadas em toda a rede, e não de forma individual em cada servidor ou computador.
  • Só funciona em ambientes Windows.

Saiba mais

Nome Completo

Lightweight Directory Access Protocol

Active Directory

Função

Protocolo

Provedor de serviços de diretório

Padrão

Open-source

Proprietário

Sistemas Suportados

Multiplataforma: Windows, Linux, macOS para usuários e aplicações do Windows

Para usuários e aplicações do Windows

Uso primário

Consulta e modificação de itens em provedores de serviços de diretório

Fornecendo autenticação, políticas, gerenciamento de grupos e usuários e muitos outros serviços na forma de um banco de dados de diretório.

Qual a relação entre LDAP e Active Directory?

O Active Directory é um serviço de diretório projetado para a administração de domínios, usuários e recursos distribuídos, tratados como objetos, no ambiente de sistemas operacionais Windows.

Os serviços incorporados no AD abrangem domínio, diretório leve, certificação, federação e serviços de gerenciamento de direitos. Similar a outros serviços de diretório baseados em Linux, o Active Directory mantém informações sobre cada conta de usuário na rede, considerando cada uma delas como um objeto.

Normalmente, cada objeto possui diversos atributos. Por exemplo, um usuário registrado em um serviço de diretório é convertido em um objeto, com atributos como nome, sobrenome, privilégios e endereço de e-mail.

O desafio reside em extrair essas informações de forma utilizável, sendo esta a função primordial do LDAP. Para atingir tal objetivo, o protocolo LDAP emprega consultas simples, baseadas em strings, para extrair dados do Active Directory.

Conclusão

O LDAP é um protocolo para serviços de diretório, como o Active Directory, que organiza dados de forma hierárquica, permitindo que usuários em uma rede local ou pública localizem informações sobre organizações, indivíduos e outros recursos, como dispositivos, arquivos e aplicações. Já o Active Directory (AD) é um banco de dados e uma série de serviços que facilitam a conexão dos usuários aos recursos de rede necessários para executarem suas tarefas.

Ou seja, LDAP e Active Directory são conceitos diferentes, e por isso não tem como compará-los, ou dizer que são iguais.

A ManageEngine pode te ajudar com o Active Directory

O ADAudit Plus ajuda a manter o ecossistema do servidor Windows e domínios do Active Directory seguros e em conformidade fornecendo visibilidade total de todas as atividades. Com ele, é possível ser alertado instantaneamente sobre quem fez alguma alteração, quando estiver em seu ambiente do servidor Windows.

Além disso, é possível fazer uma auditoria de segurança e conformidade, para aproveitar a análise de comportamento do usuário (UBA) e alertas instantâneos para reduzir ameaças.

Quer explorar o ADAudit Plus?

Consiga uma demonstração gratuita agora!

Ao clicar em ‘Obter minha demo’, você concorda com o processamento de dados pessoais de acordo com a Política de Privacidade.

Empresas que confiam no ADAudit Plus

ToshibaIBM
CHSiSymantec
Alcatel LucentNorthrop Grumman
L & T InfotechCisco
AccentureDisney

Atenda a todas as necessidades de auditoria e segurança de TI
com o ADAudit Plus.

  • Active Directory
  • Servidores de arquivos
  • Servidor Windows
  • Workstation
  • Conformidade
  • Produtos relacionados