LDAP
¿Qué es LDAP?
LDAPLightweight Directory Access Protocol, estándar del IETF para consultar y modificar servicios de directorio jerárquicos sobre TCP/IP, normalmente en los puertos 389 o 636 con TLS.
LDAP, definido en la RFC 4511, es un protocolo independiente del proveedor para leer y escribir entradas en un árbol de información de directorio, donde cada entrada se identifica por un Distinguished Name y se describe mediante atributos tipados. Las empresas usan LDAP para centralizar cuentas de usuario, pertenencia a grupos, certificados y objetos de máquina; las aplicaciones consultan el directorio durante el inicio de sesión para autenticar (LDAP bind) y autorizar accesos. Implementaciones habituales son OpenLDAP, 389 Directory Server y Microsoft Active Directory. Las buenas prácticas son utilizar LDAPS o StartTLS, evitar los bind sin autenticación, parametrizar los filtros de búsqueda para prevenir la inyección LDAP y aplicar el mínimo privilegio a las cuentas de servicio que se conectan al directorio.
● Ejemplos
- 01
Una aplicación web que hace bind a OpenLDAP para verificar la contraseña de un usuario al iniciar sesión.
- 02
Un SIEM que consulta Active Directory por LDAP para enriquecer los eventos con las pertenencias a grupos.
● Preguntas frecuentes
¿Qué es LDAP?
Lightweight Directory Access Protocol, estándar del IETF para consultar y modificar servicios de directorio jerárquicos sobre TCP/IP, normalmente en los puertos 389 o 636 con TLS. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa LDAP?
Lightweight Directory Access Protocol, estándar del IETF para consultar y modificar servicios de directorio jerárquicos sobre TCP/IP, normalmente en los puertos 389 o 636 con TLS.
¿Cómo defenderse de LDAP?
Las defensas contra LDAP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para LDAP?
Nombres alternativos comunes: Lightweight Directory Access Protocol, LDAPS.