Archive de l’étiquette LDAP

  • Accueil   /  
  • Articles étiquetés "LDAP"
A travers cet article, nous vous montrons comment vous pouvez optimiser votre LDAP
ParSTJ Telecom
, ,

Le LDAP est-il sécurisé ?

Comme promis, nous voici avec un nouvel article sur le LDAP. Vos vous souvenez que le dernier article que nous avons traité donne une définition de LDAP ainsi que ses bénéfices. Nous reprendrons d’où nous étions arrêté, en d’autres mots la sécurité du LDAP.

La sécurité du LDAP est impérative puisqu’elle implique le stockage et la récupération d’informations sensibles. Toutefois, le trafic LDAP standard n’est pas crypté, ce qui le rend vulnérable aux cyberattaques. LDAP n’est pas en mesure d’obtenir l’authentification par elle-même, ce qui a engendré la mise en œuvre de Secure LDAP (LDAPS). Après s’être connecté à un client, LDAPS crypte le trafic Web avec SSL/TLS pour établir une liaison avec l’annuaire.

Le chiffrement SL/TLS est une norme Internet car il utilise des certificats numériques x.509 pour sécuriser une connexion entre le client et le serveur. Les certificats servent d’identificateurs pour le serveur dans lequel il réside.

La plupart des organisations qui chiffrent le trafic LDAP utilisent un nom d’utilisateur et un mot de passe à des fins d’authentification. Bien que cette méthode fonctionne, elle laisse beaucoup à désirer en matière de sécurité. Les systèmes LDAP qui reposent sur l’authentification basée sur les informations d’identification sont encore assez vulnérables. Les mots de passe peuvent être facilement oubliés, partagés et volés, ce qui rend le réseau vulnérable au vol d’informations d’identification en vente libre.

Pire encore, la méthode d’authentification LDAP standard ne crypte même pas le trafic Web, ce qui signifie que les administrateurs réseau sont laissés avec le travail de configurer LDAP pour chiffrer en toute sécurité pour leurs environnements.

Le principal problème réside dans le fait que les organisations authentifient les utilisateurs avec des mots de passe parce que les mots de passe sont insuffisants pour se protéger contre les cyberattaques modernes. Les mots de passe n’ont pas le courage de se tenir contre les cyberattaques modernes comme l’attaque par force brute, qui est une méthode qui envoie des tentatives d’informations d’identification sans fin, ou l’attaque de l’homme au milieu, qui prétend être une entité réseau légitime et se connecte avec un utilisateur de réseau approuvé.

Par défaut paramètres LDAP ont à peine une chance contre les cyberattaques modernes, Heureusement, il y a une meilleure mesure de sécurité.

Adoptez le LDAP pour une solution d’ICP gérée

Les organisations de toute l’industrie laissent derrière elles des mots de passe pour s’authentifier avec des certificats numériques. Les certificats numériques peuvent être configurés pour s’authentifier automatiquement sur un réseau en toute sécurité et ne sont pas enlisés par toutes les vulnérabilités des mots de passe.

L’authentification basée sur un certificat élimine la nécessité de mots de passe et de vols d’informations d’identification en ondes, car ils peuvent chiffrer les informations d’identification des utilisateurs. Les attaques man-in-the-middle reposent sur le partage des informations d’identification des utilisateurs en clair, ce qui les rend faciles à intercepter.

STJ Telecom offre un ICP cloud géré, une solution KPI clé en main qui peut être intégrée dans n’importe quel environnement et permettre l’authentification basée sur un certificat en quelques heures. L’inscription d’appareils pour les paramètres 802.1x était considérée comme difficile, mais notre solution d’onboarding JoinNow accorde aux administrateurs la possibilité de fournir un certificat sur chaque BYOD, y compris les appareils non Windows. Les organisations qui utilisent des MDM peuvent créer de puissantes API de passerelle et tirer parti de leur PDI existant pour délivrer des certificats à tous les appareils gérés.

L’ICP de STJ Telecom travaille avec tous les fournisseurs de PDP LDAP et SAML. Vous pouvez tirer parti de votre annonce actuelle ou la laisser entièrement derrière vous. Notre Dynamic Cloud RADIUS utilise une solution d’abord de l’industrie pour référencer directement l’annuaire. Le serveur peut rechercher en temps réel la validité de l’utilisateur et ses informations d’identification. Historiquement, cela n’était possible qu’avec LDAP, mais avec STJ Telecom, c’est disponible pour toute personne qui intègre notre service dans leur environnement.

Sécurité renforcée avec authentification basée sur les certificats

LDAP est largement utilisé en raison en grande partie de sa compatibilité avec Active Directory. Toutefois, cela ne signifie pas que les administrateurs doivent être retenus avec des méthodes d’authentification désuètes qui laissent leurs réseaux vulnérables aux cybers attaques. Heureusement, ST Telecom offre une solution facile pour éliminer le vol d’informations d’identification en ondes et renforcer la sécurité du réseau tout autour en déployant l’authentification basée sur les certificats. Intégrez votre fournisseur d’identité LDAP à notre solution KPI gérée clé en main, qui est beaucoup plus abordable que les serveurs existants.

Informations supplémentaires

Le LDAP est une solution authentifiée et fiable qui assure de grandes résultats satisfaisantes. Nous espérons que cette deuxième article consacré au LDAP vous aura autant plut que le premier. Si vous désirez en connaître davantage sur ce que STJ Telecom vous propose, vous pouvez faire un tour sur notre site. De plus, si vous souhaitez obtenir des renseignements sur des sujets précis, écrivez nous via notre formulaire de contact ou appeler nous au 09 70 71 83 00.

Le Protocole d'accès aux annuaires léger permet de rechercher des informations sur les utilisateurs d'un réseau.
ParSTJ Telecom
, , , ,

Définition du Protocole d’accès à l’annuaire léger (LDAP)

Depuis de nombreuses années, LDAP est le protocole dominant pour l’authentification sécurisée des utilisateurs pour les annuaires sur place. Les organisations ont utilisé LDAP pour stocker et récupérer des données à partir de services d’annuaire et sont un élément essentiel du plan directeur d’Active Directory (AD), le service d’annuaire le plus utilisé. Historiquement, le LDAP a fourni un niveau de sécurité efficace aux organisations pour déployer WPA2-Enterprise. Cet article plonge profondément dans le LDAP et examine si ses normes de sécurité tiennent jusqu’à des cybermenaces plus modernes.

Qu’est-ce que le LDAP?

Lightweight Directory Access Protocol, ou LDAP, est un protocole logiciel qui permet à une entité de rechercher des données stockées dans un serveur. Les « données » peuvent être des informations sur les organisations, les appareils ou les utilisateurs stockés dans les répertoires. LDAP est le protocole utilisé par les serveurs pour parler avec les répertoires sur place. Les données sont stockées dans une structure hiérarchique appelée Arbre d’information d’annuaire (DIT), qui organise les données en une structure d’arbre ramissante, ce qui permet aux administrateurs de naviguer plus facilement dans leurs répertoires, de trouver des données spécifiques et d’administrer les stratégies d’accès des utilisateurs.

Que signifie « léger »?

Le prédécesseur du LDAP, le Protocole d’accès aux annuaires, a été développé dans le cadre du service d’annuaire x.500. Cependant, il a utilisé la pile de protocole OSI qui ne correspondait pas à de nombreux réseaux et était donc difficile à implémenter.

LDAP a été développé pour être un protocole alternatif léger (signifiant moins de code) qui pourrait accéder aux services d’annuaire x.500 avec le protocole TCP/IP, qui est la norme pour l’Internet.

Que fait LDAP?

L’objectif principal du LDAP est de servir de plaque tournante centrale pour l’authentification et l’autorisation. LDAP aide les organisations à stocker les informations d’identification des utilisateurs (nom d’utilisateur/mot de passe) puis à y accéder plus tard, comme lorsqu’un utilisateur tente d’accéder à une application compatible LDAP. Les informations d’identification de cet utilisateur stockées dans LDAP authentifient l’utilisateur. Les attributs de l’utilisateur peuvent également être stockés dans LDAP, qui détermine ce à quoi cet utilisateur est autorisé à accéder en fonction des stratégies définies par l’annuaire.

Comment fonctionne le LDAP?

LDAP est basé sur une interaction client-serveur. Le client commence une session avec le serveur, appelée « liaison ». Le client présente ses informations d’identification utilisateur que le serveur peut comparer au répertoire et autoriser l’accès en fonction des attributs de cet utilisateur.

Modèles LDAP

LDAP peut être décomposé en 4 modèles qui expliquent 4 services différents fournis par un serveur LDAP.

Depuis de nombreuses années, LDAP est le protocole dominant pour l’authentification sécurisée des utilisateurs pour les annuaires sur place. Les organisations ont utilisé LDAP pour stocker et récupérer des données à partir de services d’annuaire et sont un élément essentiel du plan directeur d’Active Directory (AD), le service d’annuaire le plus utilisé. Historiquement, le LDAP a fourni un niveau de sécurité efficace aux organisations pour déployer WPA2-Enterprise. Cet article plonge profondément dans le LDAP et examine si ses normes de sécurité tiennent jusqu’à des cybermenaces plus modernes.

Modèle d’information

Ce modèle détermine quelles informations peuvent être stockées dans le LDAP et s’appuie sur des « entrées ». Une entrée est un identificateur pour un objet du monde réel (serveurs, périphériques, utilisateurs) dans un réseau à travers des attributs décrivant l’objet. Les entrées aident à déterminer les niveaux d’accès réseau de l’utilisateur.

Modèle de dénomination

Ici, les entrées sont attribuées noms distingués (DN) en fonction de leur position dans la hiérarchie DIT. Les DN sont composés de noms distingués relatifs (RDN), qui représentent eux-mêmes chaque attribut d’entrée. En termes plus simples, RDN est comme un nom de fichier dans Windows, tandis que le DN est comme le nom de chemin de fichier.

Modèle fonctionnel

Le modèle fonctionnel définit les fonctions que vous pouvez faire avec un serveur LDAP. Ces fonctions peuvent être divisées en trois catégories principales, chacune avec ses propres sous-catégories.

1. Requête – Va chercher les informations demandées stockées dans l’annuaire.

2. Mise à jour – Modifie l’information dans l’annuaire. Les utilisateurs peuvent ajouter, supprimer ou modifier des informations existantes.

3. Authentification – Permet aux utilisateurs de se connecter et de se déconnecter avec le serveur LDAP.

Modèle de sécurité

Le modèle Sécurité donne aux clients la possibilité de fournir leur identité pour l’authentification. Une fois authentifiés, les serveurs peuvent déterminer quel niveau d’accès est accordé au client en fonction de leurs politiques. En élargissant l’opération liaison à partir du modèle fonctionnel, il existe trois options de liaison :

Pas d’authentification – Cette option est recommandée dans les cas où le vol d’informations d’identification n’est pas un problème. Toute personne qui quitte le DN et les champs de mots de passe vierges sera définie comme un utilisateur anonyme et se voir attribuer des niveaux d’accès basés sur les stratégies réseau existantes. Cette option est généralement laissée pour les versements ou autres cas où l’authentification n’est pas nécessaire.

Authentification de base – Le client LDAP est tenu de fournir un DN et un mot de passe pour l’authentification. Le serveur compare ensuite le DN et le mot de passe au répertoire réseau et leur accorde l’accès en fonction des attributs de l’utilisateur. Les informations d’identification sont envoyées sur cleartext, ce qui signifie qu’elles peuvent être facilement lues par une partie non autorisée si l’on devait infiltrer leur session

SASL – Simple Authentication and Security Layer, ou SASL, est un protocole qui exige à la fois que le client et le serveur fournissent des informations d’identification.

La différence entre le LDAP et l’annuaire actif

Bien que beaucoup utilisent LDAP et Active Directory (AD) de manière interchangeable, ils sont en fait deux types différents de logiciels, mais ils peuvent travailler ensemble. Considérez le LDAP comme la langue que l’ANNONCE est capable de parler. La tâche de LDAP est d’extraire les informations stockées dans ad. Lorsqu’un utilisateur recherche quelque chose dans la MA, comme un ordinateur ou une imprimante, LDAP est ce qui est utilisé pour trouver les informations pertinentes et présenter les résultats à l’utilisateur.

AD est le serveur d’annuaire le plus utilisé et il utilise LDAP pour communiquer. LDAP est le protocole utilisé pour interroger, maintenir et déterminer l’accès afin que l’ANNONCE fonctionne.

Une autre différence entre LDAP et AD est la façon dont ils gèrent la gestion de l’appareil. AD dispose d’un mécanisme appelé Stratégie de groupe (GPO) qui permet aux administrateurs de contrôler les périphériques Windows et offre des capacités de connexion unique, dont aucune n’est disponible avec LDAP. Quand il s’agit de capacité, il ya beaucoup à désirer avec LDAP, ce qui signifie admins de domaine AD sont sur leurs propres lors de la mise en œuvre des appareils compatibles LDAP et des serveurs.

Malheureusement, la sécurité LDAP standard ne s’en sort pas bien contre les cyber menaces, dont nous discuterons ensuite.

D’autres informations

Cet article que vous propose STJ Telecom est une brève introspection du LDAP, en d’autres termes, ces points forts et comment il s’adapte. Ne vous inquiétez pas, ce n’est pas tout. Comme vous avez pu le constater nous sommes très actifs dans la publication d’articles d’actualité en ligne. Vous vous en doutez bien que nous vous ne laisserons pas dans le flou. D’autres articles seront prochainement publiés pour vous éclairer au sujet du LDAP. En attendant, vous pouvez nous appeler au 09 70 71 83 00 ou nous écrire via notre formulaire de contact pour toutes questions.

Mentions légales

© STJ Télécom 2015 -2020