LDAP 身份认证管理最佳实践

轻型级目录访问协议（LDAP）为数据库访问控制提供了一个开源的，跨平台的解决方案。它是企业级的通用身份和访问管理（IAM）工具，但如果不遵循适当的管理协议，则可能会带来严重的安全问题。为了解决这些问题，IT 专业人员必须考虑潜在的威胁并遵循 LDAP 管理的最佳实践。

LDAP 身份认证的基础

使用 LDAP 的用户身份验证基于客户端-服务器模型工作，其中客户端是请求信息访问的系统，而服务器是 LDAP 服务器本身。LDAP 服务器可以存储用户名，密码，属性和权限，通常用于存储 IAM 的核心用户标识。

当用户需要访问数据库中的信息时，他们输入其凭据并等待验证。将凭据与 LDAP 数据库中存储的核心标识进行比较，如果存在匹配项，则进行身份验证。经过身份验证的凭据可授予对信息的访问权限。如果凭据不匹配，则不会进行身份验证，并且会阻止用户与请求的数据进行交互，从而保留了系统的完整性。

LDAP 基础结构可以位于企业内部或云中。基于云的 LDAP 或 LDAP-as-a-Service 不需要任何现场服务器硬件，并且可以根据单个企业的需要进行扩展。希望在其 IAM 协议中使用 LDAP 作为安全身份验证方法的企业可以通过选择基于云的 LDAP 节省时间，金钱和维护成本，但需要考虑并补偿与云迁移相关的其他安全问题。

需要解决的 LDAP 安全问题

所有身份验证方法都有未经授权访问的风险。内部威胁仍然是当今企业面临的最普遍问题之一，尤其是糟糕的密码管理和网络钓鱼攻击。任何允许未经授权的第三方访问存储数据的操作都有可能破坏数千条存储记录，包括用户身份，并且可能使以前可靠的安全协议变得毫无价值，从而无法发现和阻止攻击。

黑客可能使用各种类型的攻击来破坏 LDAP 协议。LDAP 注入攻击类似于 SQL 注入攻击，涉及将恶意代码输入到字段中，以利用协议中的漏洞。如果未正确清理用户提交的数据，黑客则不仅可以访问 LDAP 数据库，还可以修改 LDAP 树中的信息。实际上，这可能允许黑客访问数据库中的任何内容，包括用户身份。对核心身份信息的更改可以锁定用户，同时让黑客自由支配企业数据，从而在系统中造成广泛的危害。

服务拒绝（DoS）攻击不涉及未经授权的访问，但可以通过关闭合法用户访问 LDAP 服务的能力来削弱企业的实力。如果没有有效的 LDAP 协议，就无法进行身份验证，并且在攻击过程中，用户实际上被锁定在关键资源之外。

目录欺骗类似于网站欺骗，其中黑客将连接从合法资源重定向到受感染的目标。目录欺骗涉及通过返回修改后的数据或将用户定向到另一个位置来传递看起来来自请求的数据库的信息。在这两种情况下，黑客都可以获取凭据信息，并将其用于访问企业数据库，以发动更广泛的攻击。

管理 LDAP 身份认证的最佳实践

LDAP 管理的方法与其他 IAM 协议相似，需要遵循许多最佳实践才能成功实施安全措施：

•设置用户身份的自动配置和取消配置

•切勿重复使用标识符

•考虑使用企业密码管理器

•在传输过程中使用 SSL，TSL 或类似的安全协议保护密码

•使用加密哈希来保护存储的密码，并对哈希进行加密以使其难以破解

•清理用户输入以防止注入恶意代码和随后对 LDAP 数据库的操作

•使用明确定义的用户和对象以及创建和修改数据库条目的规则创建并实施访问控制策略

•设置持续监控，以识别未经授权的访问尝试

在实施任何涉及帐户锁定的控制时都要小心，因为如果自动身份验证请求是常见工作流的一部分，这可能会导致服务器意外过载和拒绝向所有用户提供服务。支持授权访问是强大的安全协议的一部分，在通过 LDAP 实现 IAM 时应予以考虑。

只有在正确管理帐户并解决安全漏洞的情况下，使用 LDAP 协议维护访问控制才能成功。对于使用 LDAP 身份验证执行和管理企业 IAM 协议的 IT 团队来说，重点必须放在数据安全性和完整性上。设置适当的控件并监视网络活动可增强对潜在攻击的防御能力，并使 LDAP 可以有效地防御未经授权的访问。

本文翻译自《LDAP Authentication Management Best Practices》一文。

原文链接：https://www.identitymanagementinstitute.org/ldap-authentication-management-best-practices

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：<https://www.longguikeji.com/>

文档：<https://docs.arkid.longguikeji.com/>

开源代码仓库地址：

<https://github.com/longguikeji>

<https://gitee.com/longguikeji>

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降
   

8. 开源软件项目的定性和定量分析指标 —— CHAOSS 指标解析
   

9. 使用SSO增强身份安全性的四个理由
   

10. 云安全和访问管理
    

11. 5个身份和访问管理的最佳实践