Le Lightweight Directory Access Protocol, ou LDAP en abr茅g茅, est l’un des principaux protocoles d’authentification qui a 茅t茅 d茅velopp茅 pour les services d’annuaire. Traditionnellement, LDAP 茅tait utilis茅 comme base de donn茅es d’informations, stockant principalement des informations telles que :
- Les utilisateurs
- Les caract茅ristiques de ces utilisateurs
- Les privil猫ges d’appartenance 脿 un groupe
- … et plus encore
Ces informations 茅taient ensuite utilis茅es pour permettre l’authentification aux ressources informatiques comme une application ou un serveur. Elles 茅taient dirig茅es vers la base de donn茅es LDAP, qui validait ensuite si cet utilisateur y avait acc猫s ou non. Cette validation s’effectuait en passant par les informations d’identification de l’utilisateur.
Par cons茅quent, on se pose souvent cette question : qu’est-ce que l’authentification LDAP ? Trouver la r茅ponse 脿 cette question en poursuivant votre lecture et apprenez comment la plateforme 黑料海角91入口 Directory peut fournir l’authentification LDAP en tant que service cloud.
Les origines de LDAP
Avant de d茅finir ce qu’est l’authentification LDAP, nous devons parler de son importance en g茅n茅ral. Selon Tim Howes, co-inventeur du protocole LDAP, ce dernier fut d茅velopp茅 脿 l’Universit茅 du Michigan, o霉 Tim 茅tait 茅tudiant dipl么m茅. Il avait pour but initial de remplacer le DAP (Directory Access Protocol) et fournir un acc猫s 脿 faible co没t 脿 l’annuaire X.500, le service d’annuaire que LDAP devait remplacer.
Je faisais partie d’un groupe de jeunes arrivistes qui essayaient d’introduire Unix et Internet sur le campus. L’Internet venait d’茅merger et l’Organisation internationale de normalisation (ISO) avait cr茅茅 des normes pour tout ce qui 茅tait li茅 脿 l’Internet, y compris le courrier 茅lectronique et les services d’annuaire. Nous travaillions donc avec X.500, qui 茅tait la norme de l’ISO pour les services d’annuaire. 脌 cette 茅poque, je travaillais 茅galement pour la division des technologies de l’information de l’universit茅. C’est l脿 qu’on m’a confi茅 le projet de d茅ployer un annuaire X.500 pour le campus, que j’ai men茅 脿 bien, mais qui m’a vite permis d’apprendre que ce protocole 茅tait beaucoup trop lourd et trop compliqu茅 pour les machines qui se trouvaient sur les bureaux de la plupart des gens. LDAP est n茅 de mon d茅sir de faire quelque chose d’un peu plus l茅ger pouvant s’adapter aux Mac et aux PC qui se trouvaient sur le bureau de chacun.鈥
Tim Howes
LDAP a connu un grand succ猫s depuis son introduction en 1993. En fait, LDAP.v3 est devenu la norme Internet pour les services d’annuaire en 1997. LDAP a 茅galement inspir茅 la cr茅ation d’OpenLDAP, la principale plateforme de services d’annuaire libres.
OpenLDAP a donn茅 naissance 脿 de nombreuses autres solutions libres bas茅es sur LDAP (389 Directory, Apache Directory Service, Open Directory, etc.) et a constitu茅 la base de Microsoft Active Directory (AD) 脿 la fin des ann茅es 1990. LDAP est m锚me un aspect essentiel des annuaires en nuage modernes comme 黑料海角91入口 Directory Platform. On peut donc supposer que l’authentification LDAP sera un 茅l茅ment fondamental de la gestion des identit茅s pour les ann茅es 脿 venir et ce, malgr茅 son 芒ge.
Entretien avec Tim Howes, co-cr茅ateur de LDAP
Authentification LDAP de base et d茅fis communs
L’authentification LDAP suit le mod猫le client/serveur. Dans ce sc茅nario, le client est g茅n茅ralement une application ou un syst猫me compatible LDAP qui demande des informations 脿 une base de donn茅es LDAP associ茅e et le serveur est, bien s没r, le serveur LDAP.
L’aspect serveur de LDAP est une base de donn茅es dont le sch茅ma est flexible. En d’autres termes, LDAP peut non seulement stocker les informations relatives aux noms d’utilisateur et aux mots de passe, mais aussi une vari茅t茅 d’attributs tels que l’adresse, le num茅ro de t茅l茅phone, les associations de groupes, etc. Par cons茅quent, un cas d’utilisation courant de LDAP est le stockage des identit茅s de base des utilisateurs.
Ce faisant, le service informatique peut diriger les syst猫mes et les applications compatibles LDAP (par exemple) vers une base de donn茅es d’annuaire LDAP associ茅e, qui sert de source de v茅rit茅 pour authentifier l’acc猫s des utilisateurs.
Comment fonctionne l’authentification LDAP entre un client et un serveur ?
Alors, comment fonctionne l’authentification LDAP entre un client et un serveur ? En r茅sum茅, un client envoie 脿 un serveur LDAP une demande d’informations stock茅es dans une base de donn茅es LDAP, accompagn茅e des informations d’identification de l’utilisateur. Le serveur LDAP authentifie alors les informations d’identification soumises par l’utilisateur par rapport 脿 son identit茅 principale d’utilisateur, qui est stock茅e dans la base de donn茅es LDAP.
Si les informations d’identification soumises par l’utilisateur correspondent 脿 celles associ茅es 脿 son identit茅 principale d’utilisateur stock茅e dans la base de donn茅es LDAP, l’acc猫s du client 脿 cette base de donn茅es est autoris茅 et il re莽oit les informations demand茅es (attributs, appartenance 脿 un groupe ou autres donn茅es). Dans le cas contraire, le client se voit refuser l’acc猫s 脿 la base de donn茅es LDAP.
Que faut-il pour mettre en 艙uvre LDAP ?
Bien que l’authentification LDAP ait certainement prouv茅 son efficacit茅, le temps n茅cessaire 脿 la mise en 艙uvre et 脿 la personnalisation de l’infrastructure bas茅e sur LDAP pour r茅pondre aux besoins de gestion des identit茅s d’une organisation moderne peut 锚tre consid茅rable.
Anciennement, LDAP 茅tait 茅galement une impl茅mentation sur site qui n茅cessitait des serveurs sp茅cifiques devant 锚tre int茅gr茅s dans l’infrastructure globale de gestion des identit茅s d’une organisation (qui 茅tait, elle aussi, sur site).
Ce type de configuration peut 锚tre difficile 脿 r茅aliser, en particulier pour les petites organisations informatiques ou celles qui sont tourn茅es vers le nuage. Apr猫s tout, la plupart des organisations modernes aimeraient transf茅rer toute leur infrastructure de gestion des identit茅s sur site vers le nuage.
C’est devenu une priorit茅 encore plus grande 脿 mesure que les organisations se tournent vers le 迟茅濒茅迟谤补惫补颈濒. Cependant, comme de plus en plus d’entreprises remplacent leur infrastructure traditionnelle sur site par des solutions en nuage, la question qui se pose maintenant est la suivante : 芦 Comment fournir une authentification LDAP sans rien sur site ? 禄
Authentification Cloud LDAP
Heureusement, une plateforme d’annuaire cloud de nouvelle g茅n茅ration a vu le jour et peut fournir l’authentification LDAP sous forme de service en nuage. Il s’agit de la plateforme d’annuaire 黑料海角91入口, qui non seulement fournit une authentification LDAP bas茅e sur le nuage, mais qui g猫re et connecte 茅galement de mani猫re s茅curis茅e les utilisateurs 脿 leurs syst猫mes, applications, fichiers et r茅seaux, sans aucun 茅l茅ment sur site.
En effet, la plateforme d’annuaire 黑料海角91入口 a adopt茅 une approche multiplateforme (par exemple, Windows, macOS, Linux), neutre vis-脿-vis des fournisseurs (Microsoft, Google, AWS, etc.) et ax茅e sur les protocoles (LDAP, SAML, RADIUS, SSH, OAuth, etc.) pour g茅rer les r茅seaux informatiques modernes. Au final, les organisations informatiques sont libres d’exploiter les ressources qui leur conviennent le mieux, sachant qu’elles peuvent tout g茅rer efficacement avec 黑料海角91入口.
En savoir plus sur l’authentification LDAP de 黑料海角91入口
Nous esp茅rons que ces informations vous ont 茅t茅 utiles, mais si vous vous demandez toujours 芦聽Qu’est-ce que l’authentification LDAP聽?聽禄 Nous vous invitons 脿 cr茅er un essai . Vous 锚tes 茅galement invit茅 脿 contacter l’茅quipe 黑料海角91入口 si vous avez des questions.
FAQ g茅n茅rale sur LDAP
Comment LDAP fonctionne-t-il avec Active Directory ?
LDAP fournit un moyen de g茅rer les abonnements des utilisateurs et des groupes stock茅s dans Active Directory. LDAP est un protocole permettant d’authentifier et d’autoriser un acc猫s granulaire aux ressources informatiques, tandis qu’Active Directory est une base de donn茅es contenant des informations sur les utilisateurs et les groupes.
Qu’est-ce que l’injection LDAP ?
Une injection LDAP se produit lorsqu’un pirate utilise un code LDAP manipul茅 pour modifier ou divulguer des donn茅es utilisateur sensibles provenant de serveurs LDAP. Pr茅venez les injections malveillantes en validant les filtres LDAP et en v茅rifiant les applications client LDAP.
O霉 utilise-t-on LDAP ?
LDAP est utilis茅 comme protocole d’authentification pour les services d’annuaire. Nous utilisons LDAP pour authentifier les utilisateurs aupr猫s des applications sur site et Web, des p茅riph茅riques NAS et des serveurs de fichiers SAMBA.
LDAP est-il s茅curis茅 ?
Afin de s茅curiser les communications, les transactions LDAP doivent 锚tre crypt茅es 脿 l’aide d’une connexion SSL/TLS. Pour la configuration, utilisez soit LDAPS sur le port 636, soit StartTLS sur le port standard LDAP 389.
Quelle est la diff茅rence entre Kerberos et LDAP ?
Bien qu’il s’agisse de deux protocoles de r茅seau utilis茅s pour l’authentification (v茅rification de l’identit茅 d’un utilisateur), LDAP diff猫re en ce qu’il peut 茅galement autoriser (d茅terminer les autorisations d’acc猫s) les clients et stocker des informations sur les utilisateurs et les groupes.
