Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

La différence entre Active Directory et LDAP

Il est important de connaître Active Directory en large et en travers afin de protéger votre réseau contre les accès non autorisés - et cela inclut la compréhension du LDAP.
Rob Sobers
3 minute de lecture
Dernière mise à jour 13 octobre 2023

Contenu

    N’importe quel pirate sait que les clés pour accéder au réseau se trouvent dans Active Directory (AD). Une fois qu’un pirate a accès au compte de l’un de vos utilisateurs, une course commence entre vous et lui : armé de vos outils de protection, serez-vous en mesure de l’arrêter avant qu’il ne puisse voler vos données ?

    Pour protéger votre réseau des accès non autorisés, il est important de connaître Active Directory en long et en large – et cela signifie comprendre LDAP.

    Qu’est-ce que LDAP ?

    LDAP (Lightweight Directory Access Protocol) est un protocole ouvert et multiplateforme utilisé pour l’authentification des services d’annuaire.

    LDAP fournit le langage de communication utilisé par les applications pour communiquer avec d’autres serveurs de services d’annuaire. Les services d’annuaire stockent les comptes et les mots de passe des utilisateurs et des ordinateurs, et partagent ces informations avec d’autres entités du réseau.

    Qu’est-ce que Active Directory ?

    Active Directory est une implémentation des services d’annuaire qui fournit toutes sortes de fonctionnalités comme l’authentification, la gestion des groupes et des utilisateurs, l’administration des stratégies et plus encore.

    Active Directory (AD) prend en charge à la fois Kerberos et LDAP – Microsoft AD est de loin le système de services d’annuaire les plus utilisé aujourd’hui. AD fournit l’authentification unique (SSO) et fonctionne bien au bureau que sur un VPN. AD et Kerberos ne sont pas multiplateformes, ce qui constitue l’une des raisons pour lesquelles les entreprises utilisent des logiciels de gestion des accès pour gérer en un seul endroit les connexions réalisées à partir de nombreux appareils et plates-formes différents. AD prend en charge LDAP, ce qui signifie qu’il peut s’intégrer à votre schéma global de gestion des accès.

    Active Directory n’est qu’un exemple de service d’annuaire prenant en charge LDAP. Il y en a d’autres : le serveur d’annuaire Red Hat, OpenLDAP, le serveur d’annuaire Apache et plus encore.

    Téléchargez un Livre-Blanc sur la sécurité d'AD

    "Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "

    LDAP vs. Active Directory

    LDAP est un moyen de communiquer avec Active Directory.

    LDAP est un protocole compris par un grand nombre de services d’annuaire et de solutions de gestion des accès.

    Les relations entre AD et LDAP sont très similaires aux relations entre Apache et HTTP :

    • HTTP est un protocole Web.
    • Apache est un serveur Web qui utilise le protocole HTTP.
    • LDAP est un protocole de services d’annuaire.
    • Active Directory est un serveur d’annuaire qui utilise le protocole LDAP.

    Occasionnellement, vous entendrez quelqu’un déclarer « Nous n’avons pas Active Directory, mais nous avons LDAP. » Ce que cette personne veut probablement dire, c’est qu’elle a un autre produit, comme OpenLDAP, qui est un serveur LDAP.
    C’est un peu comme si quelqu’un disait « Nous avons HTTP » alors qu’il veut en réalité dire « Nous avons un serveur Web Apache. »

    Qu’est-ce que l’authentification LDAP ?

    LDAP v3 propose deux options pour l’authentification LDAP – simple et SASL (Simple Authentification and Security Layer).

    L’authentification simple permet de mettre en œuvre trois mécanismes possibles d’authentification :Les 3 mécanismes possibles d'authentification Authentification anonyme Authentification non authentifiée Authentification par Nom/mot de passe

    • Authentification anonyme : accorde au client un statut anonyme pour accéder aux services LDAP.
    • Authentification non authentifiée : uniquement à des fins de journalisation, ne doit pas accorder d’accès au client.
    • Authentification par nom/mot de passe : accorde un accès au serveur en se basant sur les identifiants fournis – une simple authentification par nom/mot de passe n’est pas sécurisée et ne convient pas à une authentification dans les environnements sans protection de la confidentialité.

    L’authentification SASL lie le serveur LDAP à un autre mécanisme d’authentification, comme Kerberos. Le serveur LDAP utilise le protocole LDAP pour envoyer un message LDAP à l’autre service d’autorisation. Cela démarre une série de messages de mise en cause débouchant soit sur une authentification réussie, soit sur un échec.

    Il est important de noter que LDAP transmet par défaut tous ces messages en texte clair, ce qui fait que n’importe qui peut lire les paquets en utilisant un renifleur réseau. Vous devez ajouter un chiffrement de type TLS pour préserver la confidentialité de vos noms d’utilisateur et de vos mots de passe.

    Qu’est-ce qu’une requête LDAP ?

    Une requête LDAP est une commande qui demande certaines informations à un service d’annuaire. Par exemple, si vous voulez voir à quels groupes appartient un utilisateur donné, vous soumettrez une requête ressemblant à ceci :

    1. (&(objectClass=user)(sAMAccountName=yourUserName)
    2. (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
    4. (&(objectClass=user)(sAMAccountName=yourUserName)
    5. (memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))
    (&(objectClass=user)(sAMAccountName=yourUserName)
(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))

(&(objectClass=user)(sAMAccountName=yourUserName)
(memberof=CN=YourGroup,OU=Users,DC=YourDomain,DC=com))

    Belle syntaxe, non ? Ce n’est pas aussi simple que de saisir une adresse Web dans votre navigateur. Cela ressemble un peu au LISP.

    Heureusement, dans la plupart des cas, vous n’aurez pas besoin d’écrire des requêtes LDAP. Pour préserver votre santé mentale, vous exécuterez toutes les tâches relatives aux services d’annuaire par l’intermédiaire d’une interface par pointer-cliquer comme Varonis DatAdvantage ou peut-être en utilisant un terminal en ligne de commande comme PowerShell qui fait abstraction des détails du protocole LDAP brut.

    En bref : LDAP est un protocole et Active Directory est un serveur. LDAP authentifie Active Directory – c’est un ensemble de directives pour envoyer et recevoir des informations (comme des noms d’utilisateur et des mots de passe) vers et depuis Active Directory. Vous voulez en savoir plus ? Bénéficiez d’une démonstration individuelle sur AD et découvrez comment Varonis peut vous aider à protéger votre environnement Active Directory.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Rob Sobers
    Rob Sobers

    Rob Sobers est un ingénieur logiciel spécialisé dans la sécurité du Web et co-auteur du livre ''Learn Ruby the Hard Way''.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
    Varonis étend sa couverture pour aider à sécuriser les données critiques de Snowflake
    varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
    Nathan Coppinger
    29 janvier 2024
    Varonis étend la couverture DSPM à Snowflake, améliorant ainsi la visibilité et la sécurité des données critiques de Snowflake.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.