LDAP 协议有哪些现代化的用例？

前几期文章介绍了轻量级目录访问协议（LDAP）的起源、基本概念和基础用例。在日新月异的现代身份管理环境中，各种新的现代身份验证协议层出不穷，很多人想知道 LDAP 是否仍然适用。为了解答这一问题，本期将深入探究 LDAP 的一些常见用例，并展望其未来发展方向——基于云的 LDAP 即服务。

1. LDAP 常见用例

回到开头的问题，LDAP 究竟适用哪些场景？虽然 LDAP 属于遗留协议的一种，但在验证 Linux 应用以及许多开源解决方案时的表现仍然非常出色。通过 LDAP 进行身份验证的用例包括：

OpenVPN
Jenkins
Kubernetes
Docker
Atlassian Jira & Confluence
Linux Samba 服务器和商用分布式网络附属存储（NAS）设备，如 Synology 或 QNAP

从上述列表可以看出，LDAP 依然用途广泛，目前有数千个附加应用可以使用 LDAP 进行集成。

2. 在多协议环境中使用 LDAP

第二个问题，在现代 IT 环境中，企业可以如何应用 LDAP？由于每个 IT 资源似乎都有各自倾向的协议，结果就导致企业需要使用各种身份验证协议，除了 LDAP 以外还包括 SAML、RADIUS、OAuth 等。更深层次的影响就是管理员和开发运维工程师需要实现每个协议。这种现象被称为“身份管理孤岛”，大大增加了管理的时间成本。

上述协议中并没有哪个协议完全独占，因此企业应采用可以管理多协议的身份和访问管理方案。本文的最后就将讨论企业如何通过支持多协议的单一平台统一管理 IT 资源。

3. LDAP 的影响

LDAP 在诞生之初就引起了不小的轰动，并迅速传播到世界各地，为企业提供开源和非商业化的目录。此外，LDAP 还提供了一种管理开源 Linux 集群的方式，Linux 集群是90年代中期互联网快速扩展的技术基础。而 LDAP 可以模仿 SuSe Linux 和 HP-UX，作为后者低成本、轻量级和开源的替代方案。

当时微软 Active Directory 是基于 Windows 的首选本地目录方案，但 LDAP 随着服务器、Linux/Unix 应用、网络设备、文件服务器等开发运维基础设施的不断发展而大量铺开。

4. LDAP 与 IT 转型

过去十年，亚马逊 AWS、谷歌 G Suite、微软 Office 365、Web 应用、Samba 文件服务器/NAS 设备、WiFi无线网络、苹果macOS 和 Linux 系统等云基础设施陆续加入，给IT 环境带来了巨大变化。IT 环境变化的同时，大量身份验证协议也层出不穷，从 SAML、OAuth 到 OpenID Connect 等等。

IT 环境的转变过程中，像 LDAP 这样的遗留协议很容易被遗忘，但总体来看，LDAP 一直都在投入使用，甚至包括现代云原生企业也在使用。简单来说，LDAP 如此坚挺的原因和最初流行的原因是一样的——轻量化、自适应性和基础性。当然，使用惯性也是一个重要因素。有些企业即便想摆脱 LDAP，用户和管理员也不愿意，因为 LDAP 早已和企业的基础设施深度融合，密不可分了。

5. LDAP 的发展方向

如果企业还未开始实施 LDAP，通常也不希望只为几个应用部署完整的 LDAP 基础架构。但是，企业也很清楚将应用和基础设施连接到 LDAP 的重要性。

LDAP-as-a-Service，简称 LDAP 即服务，它的出现是为了解决构建专用 LDAP 基础设施的问题。LDAP 即服务可以看作是一种云目录服务，负责将用户安全连接到企业 IT 资源，包括系统、应用、文件和网络。这种云目录服务同时也是身份提供程序，不受平台、协议、设备厂商和位置的影响。基于云的 LDAP 目录服务器能帮助企业统一管理人员、终端、网络、应用、多云的接入和认证，让员工、外包人员、供应商、合作伙伴等使用合规的终端都能快捷方便地访问企业云上、云下资源。

LDAP 云目录服务器的优势可以总结为以下几点：

无需本地服务器，省去配置管理步骤
自动负载平衡、弹性扩展和冗余
基于标准 LDAP 的模式和目录结构
区域负载平衡保障高性能
LDAPS 和 Start TLS 确保数据传输安全
可扩展用户属性，包括员工 ID、职位、部门、位置等
利用 groupOfNames 和 memberOf 对象类满足授权需求