LDAP
Что такое LDAP?
LDAPLightweight Directory Access Protocol — стандарт IETF для запроса и изменения иерархических служб каталогов поверх TCP/IP, обычно через порт 389 или 636 c TLS.
LDAP, описанный в RFC 4511, — это независимый от поставщика протокол чтения и записи записей в дереве каталога, где каждая запись идентифицируется Distinguished Name и описывается типизированными атрибутами. Предприятия применяют LDAP для централизованного хранения учётных записей, членства в группах, сертификатов и объектов компьютеров; приложения обращаются к каталогу при входе пользователя для аутентификации (LDAP bind) и авторизации доступа. Распространённые реализации — OpenLDAP, 389 Directory Server и Microsoft Active Directory. Хорошими практиками являются использование LDAPS или StartTLS, запрет анонимных bind, параметризация поисковых фильтров для защиты от LDAP-инъекций и принцип минимальных привилегий для сервисных учётных записей, выполняющих bind к каталогу.
● Примеры
- 01
Веб-приложение выполняет bind к OpenLDAP, чтобы проверить пароль пользователя при входе.
- 02
SIEM запрашивает Active Directory по LDAP, чтобы обогатить события сведениями о группах пользователя.
● Частые вопросы
Что такое LDAP?
Lightweight Directory Access Protocol — стандарт IETF для запроса и изменения иерархических служб каталогов поверх TCP/IP, обычно через порт 389 или 636 c TLS. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает LDAP?
Lightweight Directory Access Protocol — стандарт IETF для запроса и изменения иерархических служб каталогов поверх TCP/IP, обычно через порт 389 или 636 c TLS.
Как защититься от LDAP?
Защита от LDAP обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия LDAP?
Распространённые альтернативные названия: Lightweight Directory Access Protocol, LDAPS.