La différence entre Active Directory et LDAP

Il est important de connaître Active Directory en large et en travers afin de protéger votre réseau contre les accès non autorisés - et cela inclut la compréhension du LDAP.
Rob Sobers
3 minute de lecture
Dernière mise à jour 13 octobre 2023

N’importe quel pirate sait que les clés pour accéder au réseau se trouvent dans Active Directory (AD). Une fois qu’un pirate a accès au compte de l’un de vos utilisateurs, une course commence entre vous et lui : armé de vos outils de protection, serez-vous en mesure de l’arrêter avant qu’il ne puisse voler vos données ?

Pour protéger votre réseau des accès non autorisés, il est important de connaître Active Directory en long et en large – et cela signifie comprendre LDAP.

Qu’est-ce que LDAP ?

LDAP (Lightweight Directory Access Protocol) est un protocole ouvert et multiplateforme utilisé pour l’authentification des services d’annuaire.

LDAP fournit le langage de communication utilisé par les applications pour communiquer avec d’autres serveurs de services d’annuaire. Les services d’annuaire stockent les comptes et les mots de passe des utilisateurs et des ordinateurs, et partagent ces informations avec d’autres entités du réseau.

Qu’est-ce que Active Directory ?

Active Directory est une implémentation des services d’annuaire qui fournit toutes sortes de fonctionnalités comme l’authentification, la gestion des groupes et des utilisateurs, l’administration des stratégies et plus encore.

Active Directory (AD) prend en charge à la fois Kerberos et LDAP – Microsoft AD est de loin le système de services d’annuaire les plus utilisé aujourd’hui. AD fournit l’authentification unique (SSO) et fonctionne bien au bureau que sur un VPN. AD et Kerberos ne sont pas multiplateformes, ce qui constitue l’une des raisons pour lesquelles les entreprises utilisent des logiciels de gestion des accès pour gérer en un seul endroit les connexions réalisées à partir de nombreux appareils et plates-formes différents. AD prend en charge LDAP, ce qui signifie qu’il peut s’intégrer à votre schéma global de gestion des accès.

Active Directory n’est qu’un exemple de service d’annuaire prenant en charge LDAP. Il y en a d’autres : le serveur d’annuaire Red Hat, OpenLDAP, le serveur d’annuaire Apache et plus encore.

Téléchargez un Livre-Blanc sur la sécurité d'AD

"Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "

LDAP vs. Active Directory

LDAP est un moyen de communiquer avec Active Directory.

LDAP est un protocole compris par un grand nombre de services d’annuaire et de solutions de gestion des accès.

Les relations entre AD et LDAP sont très similaires aux relations entre Apache et HTTP :

  • HTTP est un protocole Web.
  • Apache est un serveur Web qui utilise le protocole HTTP.
  • LDAP est un protocole de services d’annuaire.
  • Active Directory est un serveur d’annuaire qui utilise le protocole LDAP.

Occasionnellement, vous entendrez quelqu’un déclarer « Nous n’avons pas Active Directory, mais nous avons LDAP. » Ce que cette personne veut probablement dire, c’est qu’elle a un autre produit, comme OpenLDAP, qui est un serveur LDAP.
C’est un peu comme si quelqu’un disait « Nous avons HTTP » alors qu’il veut en réalité dire « Nous avons un serveur Web Apache. »

Qu’est-ce que l’authentification LDAP ?

LDAP v3 propose deux options pour l’authentification LDAP – simple et SASL (Simple Authentification and Security Layer).

L’authentification simple permet de mettre en œuvre trois mécanismes possibles d’authentification :Les 3 mécanismes possibles d'authentification Authentification anonyme Authentification non authentifiée Authentification par Nom/mot de passe

  • Authentification anonyme : accorde au client un statut anonyme pour accéder aux services LDAP.
  • Authentification non authentifiée : uniquement à des fins de journalisation, ne doit pas accorder d’accès au client.
  • Authentification par nom/mot de passe : accorde un accès au serveur en se basant sur les identifiants fournis – une simple authentification par nom/mot de passe n’est pas sécurisée et ne convient pas à une authentification dans les environnements sans protection de la confidentialité.

L’authentification SASL lie le serveur LDAP à un autre mécanisme d’authentification, comme Kerberos. Le serveur LDAP utilise le protocole LDAP pour envoyer un message LDAP à l’autre service d’autorisation. Cela démarre une série de messages de mise en cause débouchant soit sur une authentification réussie, soit sur un échec.

Il est important de noter que LDAP transmet par défaut tous ces messages en texte clair, ce qui fait que n’importe qui peut lire les paquets en utilisant un renifleur réseau. Vous devez ajouter un chiffrement de type TLS pour préserver la confidentialité de vos noms d’utilisateur et de vos mots de passe.

Qu’est-ce qu’une requête LDAP ?

Une requête LDAP est une commande qui demande certaines informations à un service d’annuaire. Par exemple, si vous voulez voir à quels groupes appartient un utilisateur donné, vous soumettrez une requête ressemblant à ceci :

  1. (&(objectClass=user)(sAMAccountName=yourUserName)
  2. (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
  3. (&(objectClass=user)(sAMAccountName=yourUserName)
  4. (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
(&(objectClass=user)(sAMAccountName=yourUserName)
(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))

(&(objectClass=user)(sAMAccountName=yourUserName)
(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))

Belle syntaxe, non ? Ce n’est pas aussi simple que de saisir une adresse Web dans votre navigateur. Cela ressemble un peu au LISP.

Heureusement, dans la plupart des cas, vous n’aurez pas besoin d’écrire des requêtes LDAP. Pour préserver votre santé mentale, vous exécuterez toutes les tâches relatives aux services d’annuaire par l’intermédiaire d’une interface par pointer-cliquer comme Varonis DatAdvantage ou peut-être en utilisant un terminal en ligne de commande comme PowerShell qui fait abstraction des détails du protocole LDAP brut.

En bref : LDAP est un protocole et Active Directory est un serveur. LDAP authentifie Active Directory – c’est un ensemble de directives pour envoyer et recevoir des informations (comme des noms d’utilisateur et des mots de passe) vers et depuis Active Directory. Vous voulez en savoir plus ? Bénéficiez d’une démonstration individuelle sur AD et découvrez comment Varonis peut vous aider à protéger votre environnement Active Directory.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

services-de-domaine-active-directory-(ad-ds)-:-présentation-et-fonctions
Services de domaine Active Directory (AD DS) : présentation et fonctions
Les AD DS (Active Directory Domain Services) constituent les fonctions essentielles d’Active Directory pour gérer les utilisateurs et les ordinateurs et pour permettre aux administrateurs système d’organiser les données en...
les-10-meilleurs-tutoriels-web-sur-active-directory
Les 10 meilleurs tutoriels Web sur Active Directory
Nous avons tous entendu parler des nombreux avantages d’Active Directory (AD) pour les responsables informatiques : cela leur facilite la vie car AD constitue un coffre-fort centralisé d’informations sur les utilisateurs,...
contrôleur-de-domaine-:-qu’est-ce-que-c’est-?-dans-quel-cas-est-il-nécessaire-?-comment-le-mettre-en-place-?
Contrôleur de domaine : Qu’est-ce que c’est ? Dans quel cas est-il nécessaire ? Comment le mettre en place ?
Un contrôleur de domaine est un serveur qui répond aux demandes d’authentification et contrôle les utilisateurs des réseaux informatiques. Les domaines eux, sont un moyen hiérarchique d’organiser les utilisateurs et...
crosstalk-et-secret-agent :-deux vecteurs-d’attaque-sur-la-suite-de-gestion-des-identités-d’okta
CrossTalk et Secret Agent : deux vecteurs d’attaque sur la suite de gestion des identités d’Okta
Le laboratoire de détection des menaces de Varonis a découvert et divulgué deux vecteurs d’attaque sur la suite de gestion des identités d’Okta : CrossTalk et Secret Agent.