Qu'est-ce que l'authentification LDAP ?

Topic : Programmation   | Publié il y a 5 mois

Le LDAP a été introduit pour la première fois en 1993 par Tim Howes de l'Université du Michigan, Steve Kille d'Isode Limited et Wengyik Yeong de Performance Systems International. Selon M. Howes, ses co-inventeurs et lui-même ont travaillé sur le LDAP afin de remplacer le protocole d'accès aux annuaires (Directory Access Protocol, DAP), un type d'accès aux annuaires plus complexe et plus exigeant. En utilisant moins de code dans LDAP - d'où le "léger" - l'équipe espérait rendre le protocole plus accessible à ceux qui utilisent des systèmes informatiques de bureau communs.

Depuis lors, LDAP est devenu un programme extrêmement populaire. Par exemple, en 1997, LDAP.v3 a été adopté comme norme pour les services d'annuaire. Il a également servi de base à Microsoft pour la création d'Active Directory, et a joué un rôle essentiel dans le développement des annuaires actuels basés sur le cloud - également connus sous le nom de Directories-as-a-Service.

En termes simples, LDAP est le protocole ou le langage que les serveurs utilisent pour communiquer avec Active Directory et des services d'annuaire similaires. Version du protocole d'accès aux annuaires (DAP), LDAP fait partie de la norme X.500 pour les services d'annuaires dans les intranets organisationnels et sur l'internet. LDAP permet d'envoyer des messages entre les serveurs et les applications clientes - des messages qui peuvent inclure tout, des demandes des clients et des réponses des serveurs au formatage des données.

Sur le plan fonctionnel, LDAP fonctionne en liant un utilisateur LDAP à un serveur LDAP. Le client envoie une demande d'opération qui demande un ensemble particulier d'informations, telles que les identifiants de connexion de l'utilisateur ou d'autres données organisationnelles. Le serveur LDAP traite ensuite la requête en fonction de son langage interne, communique avec les services d'annuaire si nécessaire et fournit une réponse. Lorsque le client reçoit la réponse, il se détache du serveur et traite les données en conséquence.

Pourquoi avons-nous besoin de LDAP ?

Le LDAP a un sous-ensemble de cas d'utilisation divers, mais son objectif le plus populaire est d'agir comme un centre d'authentification central. Qu'est-ce que l'authentification LDAP ? Eh bien, LDAP est particulièrement utile pour aider les organisations à stocker et à accéder aux noms d'utilisateur et aux mots de passe au sein de leur réseau et entre les applications. Avec les extensions appropriées, les organisations peuvent utiliser LDAP comme moyen de stocker et de vérifier les informations d'identification de base lorsque les utilisateurs tentent d'accéder à un annuaire LDAP ou à des systèmes et applications compatibles LDAP. Pour ce faire, les professionnels de l'informatique peuvent utiliser les serveurs Docker, Jenkins, Kubernetes, Open VPN et Linux Samba. L'authentification unique LDAP est également un choix populaire.

Toutefois, les identifiants LDAP ne se limitent pas aux noms d'utilisateur et aux mots de passe. Le protocole logiciel peut également être utile pour gérer d'autres attributs organisationnels auxquels les employés de votre entreprise peuvent avoir accès. Par exemple, LDAP peut aider à stocker des adresses, des numéros de téléphone, des données sur la structure organisationnelle, etc., ce qui fait de LDAP un outil utile pour la gestion et la protection des identités d'utilisateur essentielles dans toute une organisation. En outre, LDAP peut mettre les utilisateurs en contact avec des informations sur les actifs et les données connectés au réseau, tels que les imprimantes, les fichiers et autres ressources partagées.

Au-delà de ces cas d'utilisation de base, LDAP est un outil essentiel dans toute entreprise en raison de ses interactions avec les services d'annuaire - le plus souvent Active Directory de Microsoft. Comme nous le verrons plus tard, LDAP est un moyen de communiquer avec Active Directory et de connecter les clients aux informations dont ils ont besoin et que les services d'annuaire stockent réellement. En fournissant un langage efficace et partagé que les différents clients peuvent tous utiliser, LDAP permet aux différentes ressources de fournir plus facilement des réponses coordonnées et cohérentes aux demandes des clients.

Est-ce que LDAP est la même chose qu'Active Directory ?

Bien qu'ils soient intimement liés, LDAP et Active Directory ne sont pas la même chose. LDAP est une sorte de langage logiciel utilisé pour l'authentification des services d'annuaire - il fournit simplement le langage et les moyens d'échanger des messages correctement formatés entre différents clients. C'est une étape essentielle du processus d'authentification, mais il ne fournit pas l'infrastructure sous-jacente que les services d'annuaire tels qu'Active Directory fournissent.

En revanche, Active Directory de Microsoft fournit aux organisations des services d'annuaire essentiels. Ces services vont de l'authentification des identifiants des utilisateurs et des identités de base à la gestion des groupes et des utilisateurs. Pour l'essentiel, Active Directory stocke et gère des domaines, des informations sur les utilisateurs et d'autres ressources partagées dans un réseau organisationnel. C'est un must pour les organisations qui doivent pouvoir localiser des milliers d'objets dans leur infrastructure numérique et réglementer soigneusement qui a accès à quelles ressources.

En bref, Active Directory stocke les informations sur les utilisateurs et enregistre la politique numérique de l'organisation au niveau de l'utilisateur et du groupe. LDAP permet de formater des requêtes qui peuvent extraire les informations nécessaires et de communiquer les réponses à ces requêtes entre les clients. Ensemble, LDAP et Active Directory permettent aux clients de toutes les entreprises d'accéder aux informations dont ils ont besoin et d'utiliser les applications dont ils ont besoin pour s'acquitter de leurs responsabilités.

Qu'est-ce que la sécurité LDAP ?

Parce que LDAP facilite la communication entre les clients et Active Directory, il traite une quantité considérable d'informations sensibles. Des informations d'identification des employés aux identités des utilisateurs principaux, en passant par l'emplacement des fichiers critiques et des ressources de l'entreprise, les données transférées d'Active Directory aux clients via LDAP sont importantes pour se protéger des cybercriminels et autres mauvais acteurs. Il s'agit d'une opportunité unique pour les mauvais acteurs d'intercepter les messages entre Active Directory et les clients qui demandent des informations propriétaires de valeur.

Bien que le processus d'authentification LDAP puisse fournir un niveau de sécurité de base en mettant en œuvre une couche intégrée de gestion des accès, les mauvais acteurs peuvent toujours essayer d'écouter les informations passant d'Active Directory aux clients afin d'apprendre comment accéder à votre infrastructure numérique.  En conséquence, les PSM devraient travailler avec leurs clients pour ajouter un cryptage amélioré au processus d'authentification LDAP. Ce faisant, l'authentification LDAP peut être plus sûre contre les menaces internes et externes auxquelles sont confrontées les entreprises d'aujourd'hui.

Par exemple, l'utilisation du cryptage SSL/TLS peut ajouter une protection bien nécessaire aux informations partagées via LDAP et apporter une sécurité supplémentaire aux canaux de communication. En outre, le port par défaut utilisé au cours du processus d'authentification LDAP, le port 389, n'est pas sûr en soi. Afin de créer une connexion sécurisée, les organisations devraient envisager des extensions de sécurité supplémentaires. L'extension LDAPv3 TLS peut offrir une plus grande sécurité de connexion, ou le mode StatrTLS peut aider les informations à passer à une connexion TLS plus protégée après la connexion au port.