LDAP nasıl çalışır
LDAP, bir dizin ağacındaki kayıtları okumak ve yazmak için kullanılan istemci-sunucu protokolüdür. Her kaydın, hiyerarşideki yerini kodlayan bir ayırt edici adı (DN) vardır — örneğin uid=jsmith,ou=people,dc=example,dc=com — ve şemayla tanımlanan öznitelikleri bulunur. İstemciler az sayıda işlem çalıştırır: doğrulama için bind, ([email protected]) gibi filtrelerle arama ve kayıt ekleme, değiştirme veya silme.
LDAP ile kimlik doğrulama genellikle iki biçimden birini alır. Basit bind'da uygulama, kullanıcının DN'ini ve parolasını gönderir; dizin bunları doğrular. Önce-ara-sonra-bind deseninde ise uygulama, bir servis hesabıyla kullanıcının kaydını kullanıcı adı veya e-postayla arar, ardından bulunan DN ile verilen parolayı kullanarak bind yapar. Trafik 389 numaralı bağlantı noktasında, LDAPS için 636'da akar; düz bind parolayı açık metin olarak ilettiğinden üretim ortamları her zaman TLS ile şifrelenmelidir.
LDAP neden önemli
LDAP, kurumsal altyapının ortak dilidir. PAM ve SSSD kullanan Linux sunucuları, ağ cihazları, Jenkins ve diğer CI araçları, VPN yoğunlaştırıcıları, veritabanları ve binlerce iş uygulaması, kullanıcıları bir dizinle LDAP konuşarak doğrular. SAML ve OpenID Connect'ten çok daha eskidir ve ona bağımlı yazılımın büyük bölümü asla yeniden yazılmayacaktır.
Bu yaygınlık hem gücü hem riskidir. LDAP tabanlı kimlik doğrulama çoğunlukla yalnızca bir parola kontrolüdür: MFA yoktur, cihaz veya risk sinyali yoktur, oltalamaya direnç yoktur. Şifrelenmemiş LDAP üzerinden erişilebilen dizinler, aramalar için kullanılan aşırı yetkili servis hesapları ve temizlenmemiş filtre girdisiyle yapılan enjeksiyon, tekrar eden bulgulardır. Modern her kimlik stratejisi, yalnızca LDAP konuşan sistemlerle ne yapılacağı sorusunu yanıtlamak zorundadır.
Uygulamada LDAP
Pragmatik yol, LDAP'ı gerektiği yerde tutup güven merkezini taşımaktır. Her yerde LDAPS'ı zorunlu kılın, arama servis hesaplarına mümkün olan en dar alt ağaçta salt okunur erişim verin ve hâlâ LDAP üzerinden doğrulama yapan sistemlerin envanterini çıkararak risk değerlendirmelerinde görünür olmalarını sağlayın.
Modernizasyon içinse bir LDAP ağ geçidi, eski sistemlerin bildikleri protokolü konuşmaya devam etmesine izin verirken kimlik doğrulama kararlarını perde arkasında MFA ve uyarlanabilir politikaya sahip merkezi bir kimlik platformuna taşır. Monosign, Linux PAM/SSSD sunucularının, Jenkins'in ve NAS cihazlarının istemci tarafında hiçbir değişiklik yapmadan platforma karşı kimlik doğrulamasına imkân veren böyle bir LDAP ağ geçidi içerir.