云服务器如何安全使用本地的AD/LDAP？

以往解决服务器访问、隐私和安全问题最全面、最有效的方法是在企业系统内部使用 LDAP 或微软 Active Directory （AD） 作为中央用户目录，用于存储用户信息。基于这一中央用户目录，有些企业还会再创建一个对接云基础设施的“桥梁”，打通一个或多个不同的 IaaS 平台（Infrastructure as a Service，基础设施即服务）。
 
对于远程部署的服务器，企业需要知道哪些用户在访问哪些服务器。因此，为了追求高效，企业通常会采用基于云的用户管理服务或身份目录即服务（Directory-as-a-Service）平台。云用户管理服务或DaaS会将用户与内部 LDAP 或 AD 目录同步，借助在客户本地的身份桥接工具（一个在AD附近的轻量化代理服务），从而实现用户自动预配和管理。

云目录服务对于管理员有哪些优势?

1. 无需网络配置

身份桥这一代理服务会将LDAP 和 AD 上的身份数据都安全地反馈到 DaaS 上，包括所有用户身份，保持数据同步，且无需打开防火墙端口或将企业核心目录暴露在公网。

2. 提高访问安全
借助 DaaS 解决方案，企业既能保持中央用户目录安全，也能确保所有用户数据保持同步，实现对服务器访问的严格控制。终止用户后，不会预配或保留无关账号。这么做主要是为了确保只有授权用户才能访问内部系统，从而防止用户账号窃取这一针对企业目录的首要风险。
 
3. 无需额外管理
除了自动同步用户信息外，DaaS 还会自动同步用户的安全组信息，大大减轻了 IT 管理员的运维负担。管理员只需要创建账号以及设置特权账号，之后 DaaS 负责将所有账号信息安全复制到内部所有系统、应用和网络，并为用户设置正确的访问权限。

基于云的目录服务是现代企业用于管理和安全保护访问云服务器基础设施及其他领域的方法。宁盾NingDS是基于SaaS的托管LDAP目录服务平台，践行了DaaS技术路线，集中了用户管理，提供了真正的单点登录、WiFi身份验证等等。

没有正确方法的话，云服务器的目录用户的统一管理是一个非常棘手的问题。不过，通过NingDS云身份目录中的身份桥接能力，IT管理员可以快速地让云服务器能够使用企业本地的AD或LDAP用户存储。