N’importe quel pirate sait que les clés pour accéder au réseau se trouvent dans Active Directory (AD). Une fois qu’un pirate a accès au compte de l’un de vos utilisateurs, une course commence entre vous et lui : armé de vos outils de protection, serez-vous en mesure de l’arrêter avant qu’il ne puisse voler vos données ?
Pour protéger votre réseau des accès non autorisés, il est important de connaître Active Directory en long et en large – et cela signifie comprendre LDAP.
Qu’est-ce que LDAP ?
LDAP (Lightweight Directory Access Protocol) est un protocole ouvert et multiplateforme utilisé pour l’authentification des services d’annuaire.
LDAP fournit le langage de communication utilisé par les applications pour communiquer avec d’autres serveurs de services d’annuaire. Les services d’annuaire stockent les comptes et les mots de passe des utilisateurs et des ordinateurs, et partagent ces informations avec d’autres entités du réseau.
Qu’est-ce que Active Directory ?
Active Directory est une implémentation des services d’annuaire qui fournit toutes sortes de fonctionnalités comme l’authentification, la gestion des groupes et des utilisateurs, l’administration des stratégies et plus encore.
Active Directory (AD) prend en charge à la fois Kerberos et LDAP – Microsoft AD est de loin le système de services d’annuaire les plus utilisé aujourd’hui. AD fournit l’authentification unique (SSO) et fonctionne bien au bureau que sur un VPN. AD et Kerberos ne sont pas multiplateformes, ce qui constitue l’une des raisons pour lesquelles les entreprises utilisent des logiciels de gestion des accès pour gérer en un seul endroit les connexions réalisées à partir de nombreux appareils et plates-formes différents. AD prend en charge LDAP, ce qui signifie qu’il peut s’intégrer à votre schéma global de gestion des accès.
Active Directory n’est qu’un exemple de service d’annuaire prenant en charge LDAP. Il y en a d’autres : le serveur d’annuaire Red Hat, OpenLDAP, le serveur d’annuaire Apache et plus encore.
Téléchargez un Livre-Blanc sur la sécurité d'AD
LDAP vs. Active Directory
LDAP est un moyen de communiquer avec Active Directory.
LDAP est un protocole compris par un grand nombre de services d’annuaire et de solutions de gestion des accès.
Les relations entre AD et LDAP sont très similaires aux relations entre Apache et HTTP :
- HTTP est un protocole Web.
- Apache est un serveur Web qui utilise le protocole HTTP.
- LDAP est un protocole de services d’annuaire.
- Active Directory est un serveur d’annuaire qui utilise le protocole LDAP.
Occasionnellement, vous entendrez quelqu’un déclarer « Nous n’avons pas Active Directory, mais nous avons LDAP. » Ce que cette personne veut probablement dire, c’est qu’elle a un autre produit, comme OpenLDAP, qui est un serveur LDAP.
C’est un peu comme si quelqu’un disait « Nous avons HTTP » alors qu’il veut en réalité dire « Nous avons un serveur Web Apache. »
Qu’est-ce que l’authentification LDAP ?
LDAP v3 propose deux options pour l’authentification LDAP – simple et SASL (Simple Authentification and Security Layer).
L’authentification simple permet de mettre en œuvre trois mécanismes possibles d’authentification :
- Authentification anonyme : accorde au client un statut anonyme pour accéder aux services LDAP.
- Authentification non authentifiée : uniquement à des fins de journalisation, ne doit pas accorder d’accès au client.
- Authentification par nom/mot de passe : accorde un accès au serveur en se basant sur les identifiants fournis – une simple authentification par nom/mot de passe n’est pas sécurisée et ne convient pas à une authentification dans les environnements sans protection de la confidentialité.
L’authentification SASL lie le serveur LDAP à un autre mécanisme d’authentification, comme Kerberos. Le serveur LDAP utilise le protocole LDAP pour envoyer un message LDAP à l’autre service d’autorisation. Cela démarre une série de messages de mise en cause débouchant soit sur une authentification réussie, soit sur un échec.
Il est important de noter que LDAP transmet par défaut tous ces messages en texte clair, ce qui fait que n’importe qui peut lire les paquets en utilisant un renifleur réseau. Vous devez ajouter un chiffrement de type TLS pour préserver la confidentialité de vos noms d’utilisateur et de vos mots de passe.
Qu’est-ce qu’une requête LDAP ?
Une requête LDAP est une commande qui demande certaines informations à un service d’annuaire. Par exemple, si vous voulez voir à quels groupes appartient un utilisateur donné, vous soumettrez une requête ressemblant à ceci :
- (&(objectClass=user)(sAMAccountName=yourUserName)
- (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
- (&(objectClass=user)(sAMAccountName=yourUserName)
- (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
Belle syntaxe, non ? Ce n’est pas aussi simple que de saisir une adresse Web dans votre navigateur. Cela ressemble un peu au LISP.
Heureusement, dans la plupart des cas, vous n’aurez pas besoin d’écrire des requêtes LDAP. Pour préserver votre santé mentale, vous exécuterez toutes les tâches relatives aux services d’annuaire par l’intermédiaire d’une interface par pointer-cliquer comme Varonis DatAdvantage ou peut-être en utilisant un terminal en ligne de commande comme PowerShell qui fait abstraction des détails du protocole LDAP brut.
En bref : LDAP est un protocole et Active Directory est un serveur. LDAP authentifie Active Directory – c’est un ensemble de directives pour envoyer et recevoir des informations (comme des noms d’utilisateur et des mots de passe) vers et depuis Active Directory. Vous voulez en savoir plus ? Bénéficiez d’une démonstration individuelle sur AD et découvrez comment Varonis peut vous aider à protéger votre environnement Active Directory.
