LDAP과 Active Directory (AD)의 차이점은 무엇일까요?

들어가면서..

일반적으로 LDAP 서비스와 Active Directory 서비스를 동일하게 알고 있고 설명도 하는걸로 알고 있습니다. 하지만 LDAP 서비스와 Active Directory 서비스는 사용자 계정 인증 서비스라는 형태는 동일하지만, 조금은 다른 목적의 서비스라고 생각 하셔야 합니다.

Active Directory

Microsoft는 Windows 데스크톱에서부터 Windows Server, Exchange, Sharepoint에 이르기까지 아주 다양한 IT 소프트웨어를 개발합니다. IT 환경의 사용자들은 액세스하는 애플리케이션마다 각기 다른 비밀번호를 사용하려고 하지 않습니다. 또한 IT 관리자들은 사용자를 그룹화하여 컴퓨터나 프린터에 대한 액세스를 관리할 수 있는 방법을 원합니다.

Active Directory는 사용자와 컴퓨터에 대한 정보를 단일 디렉토리에 저장하여 더욱 쉽게 관리할 목적으로 개발되었습니다.

회사에 Active Directory 없다면 과연 어떻게 될까요?

  • 애플리케이션에 액세스할 때마다 사용자 이름과 비밀번호를 입력해야 할 것입니다.
  • 또한 IT 관리자는 사용자가 액세스하려는 애플리케이션마다 사용자를 일일이 수동으로 할당할 수밖에 없습니다.
  • 사용자가 비밀번호를 업데이트하거나 성을 변경할 경우 자신의 계정에 할당된 애플리케이션마다 동일한 작업을 반복해야 합니다.

Active Directory는 사용자, 컴퓨터, 기타 기업 자산에 대한 정보를 모두 중앙 서비스로 통합합니다. 또한 사용자 이름이나 비밀번호와 같은 자격 증명을 저장하기 때문에 사용자가 이용하는 모든 애플리케이션에 대해 사용자를 인증할 수 있습니다.

Active Directory에서 자산은 다음 세 가지 티어 중 하나로 분류됩니다.

  • 도메인: 동일한 Active Directory 데이터베이스를 공유하는 사용자(예: 직원)와 디바이스(예: 컴퓨터)가 도메인에 해당합니다. 도메인은 보통 “엔지니어링 도메인”처럼 기업 또는 기업 부서와 관련이 있습니다.
  • 트리: 트리는 도메인 간 신뢰 관계를 정의하여 기업 부서마다 누가 어디에 액세스할 수 있는지를 결정하며, IT 관리자는 이러한 신뢰 관계를 통해 사용자와 디바이스의 커뮤니티를 관리할 수 있습니다.
  • 포레스트: 규모가 큰 기업이나 기업 간 관계일 때 도메인은 포레스트로 그룹화됩니다. 포레스트 간 신뢰 관계는 일반적으로 기업이 다른 기업을 인수한 후에 형성됩니다. 이때 두 기업의 직원들은 상호간 리소스에 액세스해야 합니다.

이러한 수준에서 각 티어는 고유한 액세스 권한과 통신 권한을 갖게 됩니다.

CleanShot 2023 05 03 at 14 32 57 2x

Active Directory에도 다음과 같은 보안 기능이 포함되어 있습니다.

  • 인증. 사용자들은 네트워크 리소스에 액세스하기 전 관련 자격 증명을 제공해야 합니다.
  • 보안 그룹. IT 관리자가 사용자를 그룹화합니다. 그런 다음 관리를 최소화할 목적으로 사용자 그룹이 앱에 할당됩니다.
  • 그룹 정책. Active Directory에는 컴퓨터에 원격으로 액세스하거나 브라우저 보안 설정을 구성할 사용자를 정의하는 정책이 무수히 많습니다.

Active Directory는 사용자 인증 방법을 다양하게 지원합니다. 지금까지 지원한 인증 방법으로는 LAN Manager, NTLM, Kerberos 등이 있습니다. 이러한 인증 프로토콜은 늘 더 유용하고 안전한 쪽으로 진화했습니다. Active Directory의 주요 목적은 Microsoft 기술을 모두 통합하여 사용자가 리소스에 손쉽게 액세스하고, 관리자가 액세스를 안전하게 정의할 수 있도록 지원하는 것입니다.

LDAP 서비스

LDAP는 애플리케이션에서 사용자 정보를 매우 빠르게 대규모로 쿼리할 수 있도록 설계되어 이동통신이나 항공 산업 등의 분야에 이상적인 프로토콜입니다. Active Directory는 컴퓨터를 포함해 직원 수가 수천 명에 이르는 기업을 대상으로 설계되었습니다. 반면에 LDAP는 수백만 건에 달하는 모바일 네트워크 구독자의 인증 요청을 처리해야 하는 이동통신 사업자의 애플리케이션 프로토콜로 설계되었습니다.

LDAP는 제품 유형에 구애받지 않는 프로토콜입니다. 실제로 LDAP를 지원하도록 구현된 Active Directory에서는 기존의 Active Directory 환경과 달리 LDAP 기반의 애플리케이션도 실행됩니다.

LDAP 프로토콜은 기본적으로 다음과 관련이 있습니다.

  • 디렉토리 구조. 각 디렉토리 항목마다 속성이 있기 때문에 디렉터리에 쿼리할 때 사용되는 고유 이름(DN)을 통해야 액세스할 수 있습니다.
  • 데이터 추가, 업데이트, 읽어오기. LDAP는 빠른 데이터 검색 및 읽어오기에 최적화되어 있습니다.
  • 인증. LDAP에서는 서비스로 “바인딩”됩니다. 이때 인증은 단순한 사용자 이름과 비밀번호, 클라이언트 인증서 또는 Kerberos 토큰이 될 수 있습니다.
  • 검색. 검색 기능은 LDAP가 두각을 나타내는 영역 중 하나입니다. 다시 말하지만 LDAP 기반 서버는 일반적으로 대량의 쿼리에 맞게 설계되며, 이러한 쿼리들은 일반적으로 데이터 세트에 대한 검색인 경우가 많습니다.

LDAP과 Active Directory의 비교 및 차이점

  • LDAP는 프로토콜이지만 이전에는 주로 벤더가 개발한 디렉터리와 통신하는 수단이었습니다. 그래서 LDAP 서버로 알려진 경우가 많았습니다.
  • LDAP 서버는 주로 애플리케이션 사용자의 정보가 저장되는 저장소로 사용되었습니다. 이러한 이유로 Active Directory와 비교되기도 합니다. 이에 사람들이 LDAP 서버와 Active Directory 중에서 무엇이 더 좋은지 묻기 시작하면서 혼란이 가중되었습니다.
  • 사실 이 질문에 정답은 없습니다. 비교 자체가 공평하지 않기 때문입니다. 차라리 이렇게 물어볼 수 있습니다. 애플리케이션 디렉토리에 사용하려고 하는데 Active Directory가 Ping Identity Directory나 Oracle Internet Directory보다 좋은가요?
  • 일반적으로 LDAP 서버는 모바일 이동통신 플랫폼에서 수백만 건에 달하는 구독자 쿼리와 같은 대규모 애플리케이션에 적합합니다.
  • 또한 사용자 인증이 대규모로 일어나는 상황에서도 유용합니다. Twitter는 한때 사용자 인증을 위해 대규모 LDAP 서비스를 이용하기도 했습니다.
  • Active Directory는 설계상 단일 사용자 커뮤니티를 통한 대규모 구현에는 적합하지 않습니다. 오히려 기업이 다수의 포레스트와 도메인으로 분산되어 있을 때 유연하게 확장됩니다.
  • 사용자가 수십만 명일 때 Active Directory를 구현하는 경우도 있지만 관리는 모두 로컬 도메인과 포레스트에서 이루어집니다.

Active Directory 주요 적용 분야

  • Active Directory는 주로 Windows clients, servers, SharePoint/Exchange와 같은 Microsoft 기반의 온프레미스 (On-premise)기술에 대한 액세스를 관리하는 경우에 유용합니다.
  • 도메인에 연결된 Windows 컴퓨터와 Active Directory 사이에서 밀접한 통합이 이루어지기 때문에 Active Directory의 그룹 정책은 Windows 컴퓨터를 보호하는 데 매우 효과적입니다. 여기에서는 LDAP 서버도 적수가 못됩니다.

Share

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

Post comment