Active Directory (AD) ist das Herzstück moderner Unternehmensnetzwerke. Es verwaltet Identitäten, Berechtigungen und Ressourcen und sorgt dafür, dass Benutzer, Computer und Dienste sicher miteinander kommunizieren können. Doch AD ist nur ein Teil eines größeren Ökosystems, das aus dem LDAP‑Protokoll, Lightweight Directory Services (AD LDS) und zunehmend auch Cloud‑basierten Lösungen wie Azure AD LS besteht. In diesem Beitrag beleuchten wir die Funktionsweise dieser Komponenten im Detail, zeigen ihre Unterschiede und erläutern, wie sie zusammenarbeiten, um eine robuste, skalierbare Identitätsinfrastruktur zu schaffen.
1. Grundlagen von Active Directory
Active Directory ist ein hierarchisches Verzeichnisdienstsystem, das von Microsoft entwickelt wurde. Es speichert Informationen über Objekte – Benutzer, Gruppen, Computer, Drucker und mehr – in einer strukturierten Datenbank. Die Grundbausteine von AD sind:
- Domänen: Logische Gruppierungen von Objekten, die einen gemeinsamen Sicherheitsbereich bilden. Jede Domäne hat einen eindeutigen Namen.
- Bäume und Wälder: Mehrere Domänen können zu einem Baum verbunden werden, der wiederum Teil eines Waldes ist. Der Wald bildet die höchste Ebene und definiert die globale Katalogstruktur.
- Organisationseinheiten (OUs): Logische Container innerhalb einer Domäne, die zur Delegierung von Verwaltungsrechten und zur Anwendung von Gruppenrichtlinien verwendet werden.
- Sicherheitsgruppen: Gruppen von Benutzern oder Computern, die gemeinsam Berechtigungen erhalten. Sie können lokal in einer Domäne oder global im gesamten Wald definiert werden.
AD nutzt das Lightweight Directory Access Protocol (LDAP) als Transportprotokoll, um Anfragen zwischen Clients und Servern auszutauschen. Zusätzlich unterstützt es Kerberos für die Authentifizierung und NTLM als Fallback-Mechanismus. Durch die Kombination dieser Technologien bietet AD eine robuste Plattform für Identitäts- und Zugriffsmanagement.
2. LDAP – das Protokoll
LDAP (Lightweight Directory Access Protocol) ist ein offenes, plattformunabhängiges Protokoll, das den Zugriff auf Verzeichnisdienste ermöglicht. Es definiert einen Satz von Operationen, die Clients ausführen können:
- Bind: Authentifizierung des Clients beim Server.
- Search: Abfrage von Objekten anhand von Filtern und Attributen.
- Add/Modify/Delete: Verwaltung von Objekten im Verzeichnis.
- Compare: Überprüfung, ob ein bestimmtes Attribut einen bestimmten Wert hat.
LDAP arbeitet mit einer hierarchischen Datenstruktur, die als Distinguished Name (DN) bezeichnet wird. Ein DN besteht aus einer Reihe von Attribute‑Wert‑Paaren, die von der Root‑DSE (Directory Service Entry) bis zum Zielobjekt reichen. Beispiel: cn=John Doe,ou=Users,dc=contoso,dc=com
Ein wichtiger Aspekt von LDAP ist die Unterstützung von SASL (Simple Authentication and Security Layer), das verschiedene Authentifizierungsmechanismen wie Kerberos, DIGEST-MD5 oder PLAIN ermöglicht. In AD wird LDAP in Kombination mit Kerberos verwendet, um sichere, verschlüsselte Verbindungen zu gewährleisten.
LDAP ist nicht auf Windows beschränkt; es wird von vielen Plattformen unterstützt, darunter OpenLDAP, Apache Directory Server und Novell eDirectory. Diese Interoperabilität macht LDAP zu einem zentralen Protokoll für die Integration von Identitätsdiensten über unterschiedliche Betriebssysteme hinweg.
3. AD LDS – Lightweight Directory Services
Active Directory Lightweight Directory Services (AD LDS) ist eine eigenständige Instanz eines Verzeichnisdienstes, die keine Domänencontroller-Funktionalität besitzt. Stattdessen bietet sie die gleichen LDAP‑ und Kerberos‑Funktionen wie AD, jedoch ohne die Notwendigkeit, ein vollständiges AD‑Domänencontroller-Setup zu betreiben. Typische Einsatzszenarien sind:
- Anwendungs‑Back‑Ends: Anwendungen, die ihre eigenen Benutzer‑ und Konfigurationsdaten verwalten, ohne sich an die zentrale AD‑Domäne anzuschließen.
- Sicherheits‑ und Compliance‑Anforderungen: Szenarien, in denen Daten in einer isolierten Umgebung gespeichert werden müssen, z. B. in einer Sandbox oder in einer Cloud‑Umgebung.
- Legacy‑Systemintegration: Ältere Anwendungen, die LDAP‑Zugriff benötigen, aber nicht für die Integration in ein bestehendes AD‑Domänenmodell ausgelegt sind.
AD LDS kann auf Windows Server oder in einer virtuellen Umgebung betrieben werden. Es unterstützt die gleichen Gruppenrichtlinien‑ähnlichen Mechanismen wie AD, jedoch in einem eingeschränkten Umfang. Durch die Trennung von AD LDS und AD können Unternehmen ihre Identitätsinfrastruktur modularisieren und gezielt skalieren.
4. AD LS – Lightweight Services (Azure AD LS)
Mit der zunehmenden Migration in die Cloud hat Microsoft Azure AD LS (Lightweight Services) als Brücke zwischen on‑premises AD und Azure AD eingeführt. Azure AD LS ist ein leichtgewichtiges, cloud‑basiertes Verzeichnis, das LDAP‑ und Kerberos‑Funktionen bereitstellt, ohne dass ein vollständiger Azure AD Connect‑Agent erforderlich ist. Hauptmerkmale:
- Schnelle Bereitstellung: Keine komplexen Installationen, nur ein paar Minuten Konfiguration.
- Kompatibilität: Unterstützt bestehende LDAP‑Clients und Anwendungen, die auf Kerberos angewiesen sind.
- Hybrid‑Szenarien: Ermöglicht die Synchronisierung von Benutzern und Gruppen zwischen on‑premises AD und Azure AD LS, ohne dass ein vollständiger AD‑Domänencontroller in der Cloud erforderlich ist.
Azure AD LS eignet sich besonders für Unternehmen, die ihre Anwendungen in die Cloud verlagern, aber weiterhin LDAP‑basierte Authentifizierung benötigen. Durch die Nutzung von Azure AD LS können sie die Vorteile der Cloud (Skalierbarkeit, Redundanz) nutzen, ohne ihre bestehenden LDAP‑Abhängigkeiten aufzugeben.
5. Integration und Einsatzszenarien
Die Kombination aus AD, LDAP, AD LDS und Azure AD LS ermöglicht vielfältige Architekturoptionen:
| Szenario | Empfohlene Lösung | Vorteile |
|---|---|---|
| On‑Premises‑Only | AD + LDAP | Vollständige Kontrolle, keine Cloud‑Kosten |
| Hybrid‑Umgebung | AD + Azure AD Connect + Azure AD LS | Nahtlose Authentifizierung, Cloud‑Backup |
| Anwendungs‑Back‑End | AD LDS | Isolierte Umgebung, keine Domänencontroller |
| Legacy‑Apps | AD LDS + LDAP | Einfaches Upgrade ohne Umstrukturierung |
| Cloud‑First | Azure AD LS | Schnell, skalierbar, keine On‑Premises‑Hardware |
Ein typisches Beispiel ist ein Unternehmen, das seine internen Anwendungen in Azure migriert, aber weiterhin LDAP‑basierte Authentifizierung für Legacy‑Software benötigt. Durch die Bereitstellung von Azure AD LS können sie die Authentifizierungslogik beibehalten, während die Daten in der Cloud gespeichert werden. Gleichzeitig bleibt die zentrale AD‑Domäne für die Unternehmensidentität erhalten, sodass Benutzer nahtlos zwischen On‑Premises und Cloud wechseln können.
Fazit
Active Directory, LDAP, AD LDS und Azure AD LS bilden ein umfassendes Ökosystem für Identitäts- und Zugriffsmanagement. Während AD die Basis für Unternehmensnetzwerke bildet, ermöglicht LDAP die plattformunabhängige Kommunikation. AD LDS bietet eine leichtgewichtige Alternative für spezielle Anwendungsfälle, und Azure AD LS erweitert die Möglichkeiten in der Cloud. Durch die richtige Kombination dieser Komponenten können Unternehmen eine flexible, skalierbare und sichere Identitätsinfrastruktur schaffen, die sowohl aktuelle als auch zukünftige Anforderungen erfüllt.