Entry № 685
LDAP
LDAP 是什么?
LDAP轻量目录访问协议,IETF 制定的标准,用于通过 TCP/IP 查询和修改分层目录服务,通常使用 389 端口或 636 端口(配合 TLS)。
LDAP 在 RFC 4511 中定义,是一种厂商中立的协议,用于读取和写入目录信息树中的条目。每个条目由可识别名称(Distinguished Name)标识,并由若干带类型的属性描述。企业使用 LDAP 集中管理用户账户、组成员关系、证书和计算机对象;应用程序在用户登录时通过查询目录完成身份验证(LDAP bind)和访问授权。常见实现包括 OpenLDAP、389 Directory Server 以及 Microsoft Active Directory。推荐使用 LDAPS 或 StartTLS、避免匿名 bind、对搜索过滤器进行参数化以防止 LDAP 注入,并对绑定到目录的服务账户实施最小特权。
● 示例
- 01
Web 应用通过绑定到 OpenLDAP 来验证用户登录时输入的密码。
- 02
SIEM 通过 LDAP 查询 Active Directory,为事件补充用户的组成员信息。
● 常见问题
LDAP 是什么?
轻量目录访问协议,IETF 制定的标准,用于通过 TCP/IP 查询和修改分层目录服务,通常使用 389 端口或 636 端口(配合 TLS)。 它属于网络安全的 身份与访问 分类。
LDAP 是什么意思?
轻量目录访问协议,IETF 制定的标准,用于通过 TCP/IP 查询和修改分层目录服务,通常使用 389 端口或 636 端口(配合 TLS)。
如何防御 LDAP?
针对 LDAP 的防御通常结合技术控制与运营实践,详见上方完整定义。
LDAP 还有哪些其他名称?
常见的别称包括: Lightweight Directory Access Protocol, LDAPS。