Depuis de nombreuses années, LDAP est le protocole dominant pour l’authentification sécurisée des utilisateurs pour les annuaires sur place. Les organisations ont utilisé LDAP pour stocker et récupérer des données à partir de services d’annuaire et sont un élément essentiel du plan directeur d’Active Directory (AD), le service d’annuaire le plus utilisé. Historiquement, le LDAP a fourni un niveau de sécurité efficace aux organisations pour déployer WPA2-Enterprise. Cet article plonge profondément dans le LDAP et examine si ses normes de sécurité tiennent jusqu’à des cybermenaces plus modernes.
Qu’est-ce que le LDAP?
Lightweight Directory Access Protocol, ou LDAP, est un protocole logiciel qui permet à une entité de rechercher des données stockées dans un serveur. Les « données » peuvent être des informations sur les organisations, les appareils ou les utilisateurs stockés dans les répertoires. LDAP est le protocole utilisé par les serveurs pour parler avec les répertoires sur place. Les données sont stockées dans une structure hiérarchique appelée Arbre d’information d’annuaire (DIT), qui organise les données en une structure d’arbre ramissante, ce qui permet aux administrateurs de naviguer plus facilement dans leurs répertoires, de trouver des données spécifiques et d’administrer les stratégies d’accès des utilisateurs.
Que signifie « léger »?
Le prédécesseur du LDAP, le Protocole d’accès aux annuaires, a été développé dans le cadre du service d’annuaire x.500. Cependant, il a utilisé la pile de protocole OSI qui ne correspondait pas à de nombreux réseaux et était donc difficile à implémenter.
LDAP a été développé pour être un protocole alternatif léger (signifiant moins de code) qui pourrait accéder aux services d’annuaire x.500 avec le protocole TCP/IP, qui est la norme pour l’Internet.
Que fait LDAP?
L’objectif principal du LDAP est de servir de plaque tournante centrale pour l’authentification et l’autorisation. LDAP aide les organisations à stocker les informations d’identification des utilisateurs (nom d’utilisateur/mot de passe) puis à y accéder plus tard, comme lorsqu’un utilisateur tente d’accéder à une application compatible LDAP. Les informations d’identification de cet utilisateur stockées dans LDAP authentifient l’utilisateur. Les attributs de l’utilisateur peuvent également être stockés dans LDAP, qui détermine ce à quoi cet utilisateur est autorisé à accéder en fonction des stratégies définies par l’annuaire.
Comment fonctionne le LDAP?
LDAP est basé sur une interaction client-serveur. Le client commence une session avec le serveur, appelée « liaison ». Le client présente ses informations d’identification utilisateur que le serveur peut comparer au répertoire et autoriser l’accès en fonction des attributs de cet utilisateur.
Modèles LDAP
LDAP peut être décomposé en 4 modèles qui expliquent 4 services différents fournis par un serveur LDAP.
Depuis de nombreuses années, LDAP est le protocole dominant pour l’authentification sécurisée des utilisateurs pour les annuaires sur place. Les organisations ont utilisé LDAP pour stocker et récupérer des données à partir de services d’annuaire et sont un élément essentiel du plan directeur d’Active Directory (AD), le service d’annuaire le plus utilisé. Historiquement, le LDAP a fourni un niveau de sécurité efficace aux organisations pour déployer WPA2-Enterprise. Cet article plonge profondément dans le LDAP et examine si ses normes de sécurité tiennent jusqu’à des cybermenaces plus modernes.
Modèle d’information
Ce modèle détermine quelles informations peuvent être stockées dans le LDAP et s’appuie sur des « entrées ». Une entrée est un identificateur pour un objet du monde réel (serveurs, périphériques, utilisateurs) dans un réseau à travers des attributs décrivant l’objet. Les entrées aident à déterminer les niveaux d’accès réseau de l’utilisateur.
Modèle de dénomination
Ici, les entrées sont attribuées noms distingués (DN) en fonction de leur position dans la hiérarchie DIT. Les DN sont composés de noms distingués relatifs (RDN), qui représentent eux-mêmes chaque attribut d’entrée. En termes plus simples, RDN est comme un nom de fichier dans Windows, tandis que le DN est comme le nom de chemin de fichier.
Modèle fonctionnel
Le modèle fonctionnel définit les fonctions que vous pouvez faire avec un serveur LDAP. Ces fonctions peuvent être divisées en trois catégories principales, chacune avec ses propres sous-catégories.
1. Requête – Va chercher les informations demandées stockées dans l’annuaire.
2. Mise à jour – Modifie l’information dans l’annuaire. Les utilisateurs peuvent ajouter, supprimer ou modifier des informations existantes.
3. Authentification – Permet aux utilisateurs de se connecter et de se déconnecter avec le serveur LDAP.
Modèle de sécurité
Le modèle Sécurité donne aux clients la possibilité de fournir leur identité pour l’authentification. Une fois authentifiés, les serveurs peuvent déterminer quel niveau d’accès est accordé au client en fonction de leurs politiques. En élargissant l’opération liaison à partir du modèle fonctionnel, il existe trois options de liaison :
Pas d’authentification – Cette option est recommandée dans les cas où le vol d’informations d’identification n’est pas un problème. Toute personne qui quitte le DN et les champs de mots de passe vierges sera définie comme un utilisateur anonyme et se voir attribuer des niveaux d’accès basés sur les stratégies réseau existantes. Cette option est généralement laissée pour les versements ou autres cas où l’authentification n’est pas nécessaire.
Authentification de base – Le client LDAP est tenu de fournir un DN et un mot de passe pour l’authentification. Le serveur compare ensuite le DN et le mot de passe au répertoire réseau et leur accorde l’accès en fonction des attributs de l’utilisateur. Les informations d’identification sont envoyées sur cleartext, ce qui signifie qu’elles peuvent être facilement lues par une partie non autorisée si l’on devait infiltrer leur session
SASL – Simple Authentication and Security Layer, ou SASL, est un protocole qui exige à la fois que le client et le serveur fournissent des informations d’identification.
La différence entre le LDAP et l’annuaire actif
Bien que beaucoup utilisent LDAP et Active Directory (AD) de manière interchangeable, ils sont en fait deux types différents de logiciels, mais ils peuvent travailler ensemble. Considérez le LDAP comme la langue que l’ANNONCE est capable de parler. La tâche de LDAP est d’extraire les informations stockées dans ad. Lorsqu’un utilisateur recherche quelque chose dans la MA, comme un ordinateur ou une imprimante, LDAP est ce qui est utilisé pour trouver les informations pertinentes et présenter les résultats à l’utilisateur.
AD est le serveur d’annuaire le plus utilisé et il utilise LDAP pour communiquer. LDAP est le protocole utilisé pour interroger, maintenir et déterminer l’accès afin que l’ANNONCE fonctionne.
Une autre différence entre LDAP et AD est la façon dont ils gèrent la gestion de l’appareil. AD dispose d’un mécanisme appelé Stratégie de groupe (GPO) qui permet aux administrateurs de contrôler les périphériques Windows et offre des capacités de connexion unique, dont aucune n’est disponible avec LDAP. Quand il s’agit de capacité, il ya beaucoup à désirer avec LDAP, ce qui signifie admins de domaine AD sont sur leurs propres lors de la mise en œuvre des appareils compatibles LDAP et des serveurs.
Malheureusement, la sécurité LDAP standard ne s’en sort pas bien contre les cyber menaces, dont nous discuterons ensuite.
D’autres informations
Cet article que vous propose STJ Telecom est une brève introspection du LDAP, en d’autres termes, ces points forts et comment il s’adapte. Ne vous inquiétez pas, ce n’est pas tout. Comme vous avez pu le constater nous sommes très actifs dans la publication d’articles d’actualité en ligne. Vous vous en doutez bien que nous vous ne laisserons pas dans le flou. D’autres articles seront prochainement publiés pour vous éclairer au sujet du LDAP. En attendant, vous pouvez nous appeler au 09 70 71 83 00 ou nous écrire via notre formulaire de contact pour toutes questions.