Des noms distinctifs à l’authentification des utilisateurs

par
Tweetez
Partagez
Enregistrer
Partagez
Partagez
0 Partages

Il est courant que les organisations s’appuient sur LDAP (Lightweight Directory Access Protocol) pour effectuer la gestion, le stockage et l’authentification des utilisateurs critiques.

Cependant, cela peut dérouter les utilisateurs, les amenant à le mélanger avec Active Directory.

Dans cet article, nous examinerons LDAP, son objectif et son fonctionnement. Ensuite, nous passerons en revue ses fonctionnalités clés, sa structure de répertoires et ses capacités d’organisation des données. Enfin, nous couvrirons l’importance de LDAP dans la gestion du service d’annuaire et de l’authentification des utilisateurs.

Qu’est-ce que LDAP ?

LDAP signifie Lightweight Directory Access Protocol. Il s’agit d’un protocole ouvert qui régit l’authentification sécurisée des utilisateurs pour les annuaires sur site. De plus, il s’agit d’un protocole d’application indépendant du fournisseur, ce qui le rend polyvalent et omniprésent, en particulier dans les services d’informations d’annuaire distribués sur Internet.

LDAP est efficace pour permettre aux applications d’interroger les informations des utilisateurs. Cela signifie qu’il peut fonctionner de différentes manières dans les services d’infrastructure informatique, y compris les services de messagerie, l’autorisation, la gestion des licences et la gestion des utilisateurs.

Cependant, il ne faut pas le confondre avec les services d’annuaire actif – un ensemble de services/bases de données que les entreprises utilisent pour organiser, accéder et sécuriser les actifs informatiques. Fondamentalement, les services d’annuaire permettent aux organisations de stocker des données descriptives, statiques et précieuses.

Techniquement, LDAP est attribué au processus complet de représentation des données au sein d’un service d’annuaire. Il garantit que les utilisateurs peuvent obtenir des données d’une manière prédéfinie. Cela signifie que LDAP permet aux organisations de créer des entrées de données dans les services d’annuaire via ses outils.

Ainsi, au sein d’un Active Directory, LDAP garantit également la composition des entrées en fonction des différents éléments primitifs décrits.

En bref, LDAP est un :

  • Protocole de communication
  • Il s’agit d’un protocole d’application ouvert indépendant du fournisseur
  • Le protocole logiciel stocke et organise les données pour qu’elles soient facilement consultables.
  • Fonctionne avec les répertoires sur site
  • Fonctionne avec Active Directory qui contient des données statiques, descriptives et précieuses
  • Ce n’est pas un nouveau protocole et a été publié en 2003

Quel est son but?

L’objectif de LDAP s’articule autour de deux choses :

  • Il stocke les données dans un répertoire LDAP/Active
  • Authentifier l’accès de l’utilisateur à ce dit répertoire
  • Permettre aux applications d’utiliser le langage de communication approprié pour envoyer et recevoir des données à partir des services d’annuaire.

En d’autres termes, il agit comme un protocole de communication qui est non seulement capable d’authentification et d’autorisation, mais qui organise également les données de manière consultable. À l’aide de LDAP, les organisations peuvent stocker des informations critiques sur les utilisateurs et les actifs informatiques, y compris les informations d’identification des utilisateurs. De plus, il peut garantir un accès sécurisé en permettant aux administrateurs de définir activement des règles d’accès.

Comment fonctionne LDAP ?

Au cœur de LDAP, l’architecture client-serveur est en jeu.

Ainsi, lorsque l’authentification LDAP a lieu, elle suit un modèle client-serveur. Et pendant ce temps, les acteurs clés sont les suivants :

  • Directory System Agent (DSA) : serveur exécutant LDAP sur un réseau spécifique.
  • Le nom distinctif (DN) contient le chemin de navigation dans l’arborescence d’informations d’annuaire (DIT).
  • Directory User Agent (DUA) : le DUA est utilisé pour accéder aux DSA en tant que client.
  • Nom distinctif relatif (RDN) : le RDN spécifie chaque composant dans le chemin du DN.
  • Interface de programmation d’application (API) : Nous avons des API qui communiquent entre les services et les produits.

Dans le processus d’authentification LDAP, lorsqu’un utilisateur démarre un programme client LDAP tel qu’une application de messagerie, l’administrateur peut configurer la façon dont le client LDAP interagit avec les services d’annuaire pour l’authentification. Par exemple, il peut utiliser l’une des deux méthodes d’authentification utilisateur disponibles :

Lors de la tentative de connexion, l’authentification DN est demandée. Une fois le processus démarré, LDAP affecte le client à l’agent de système d’annuaire (DSA), qui utilise le DN pour rechercher des enregistrements correspondants dans la base de données.

Le nom distinctif relatif (RDN) dans le DN est un élément essentiel de la recherche LDAP car il est utilisé à chaque étape du processus de recherche via l’arborescence d’informations d’annuaire (DIT).

Si la recherche réussit, l’UID et le mot de passe de l’utilisateur correspondants sont mis en correspondance pour valider l’utilisateur. Sinon, il renvoie des résultats invalides.

Enfin, le client se déconnecte du serveur LDAP. Une fois cela fait, l’utilisateur authentifié peut alors communiquer avec les services via les API. Cela signifie qu’il peut parcourir toutes les informations stockées – la seule limitation étant les autorisations accordées.

Si vous souhaitez en savoir plus sur le fonctionnement de LDAP, consultez son article publié en 2003 par Greg Vaneder et Mark Wahl. Et, si vous souhaitez en savoir plus sur les opérations de recherche LDAP, consultez L’opération de recherche LDAP.

Fonctionnalités clés de LDAP

Les fonctionnalités clés de LDAP peuvent être résumées ci-dessous :

  • Authentifier les sessions utilisateur : il peut être utilisé pour authentifier les sessions utilisateur auprès d’un service de base de données tel qu’Active Directory.
  • Différents types d’opérations : il peut également effectuer des opérations sur une base de données de serveur d’annuaire, y compris
    • séances contraignantes
    • suppression d’entrées LDAP
    • Modifier les entrées existantes
    • Rechercher et comparer les entrées.
    • Demandes d’abandon
    • Délier les opérations
  • Léger : LDAP est léger, assurant une petite surcharge aux ressources réseau et système.
  • Indépendant du fournisseur et du protocole : LDAP est également indépendant du fournisseur et du protocole. Cela signifie qu’il fonctionne avec n’importe quel fournisseur/solution/protocole. Par exemple, vous pouvez utiliser LDAP sur TCP/IP ou X.25. Cependant, la dernière version de LDAP, LDAPv3, utilise TCP/IP.
  • Structure de répertoire : LDAP utilise une arborescence de répertoires pour stocker et accéder aux ressources dans une base de données de répertoires. La relation parent-enfant signifie une recherche et une récupération plus rapides.
  • Standardisation : LDAP est standardisé par l’IETF (Internet Engineering Task Force). La standardisation garantit que LDAP fonctionne sur différents fournisseurs.
  • Sécurité : LDAP est sécurisé. Il assure la sécurité en utilisant TLS sécurisé sur la couche TCP/IP. Il peut également utiliser Secure Socket (SSL) pour chiffrer, déchiffrer et transférer des informations à distance en toute intégrité et confidentialité.
  • Réplication : LDAP prend également en charge la réplication sur plusieurs serveurs. Il assure la redondance des données et assure la disponibilité des données en cas de panne. Il utilise Syncrepl – un moteur de réplication Sync.

Structure de l’annuaire LDAP

L’annuaire LDAP a une structure propre et définie. Cela permet un accès facile aux données et ajoute à la capacité de recherche du contenu de l’annuaire LDAP.

Comme LDAP suit une structure arborescente, il est hiérarchique. Et c’est pourquoi il est principalement préféré comme Directory Information Tree (DIT).

Les différents niveaux de structure d’annuaire LDAP incluent :

  • Répertoire racine
  • Organisation

Comme vous pouvez le constater, il existe une arborescence dans l’annuaire LDAP. Le répertoire « racine » est une entrée de niveau supérieur qui inclut toutes les autres entrées au niveau du répertoire. En dessous, vous obtenez Pays (pays) qui se ramifie ensuite en Organisation (s). Ensuite, il se ramifie vers les unités organisationnelles (UO) et, enfin, vers les individus et les groupes.

Pour comprendre la structure du répertoire LDAP, examinons un exemple ci-dessous.

 - Root (Top-level entry)
   |
   +-- Country: "dc=com" (e.g., dc=example,dc=com)
         |
         +-- Organization: "dc=example" (e.g., dc=example)
               |
               +-- Organizational Unit (OU): "ou=Users"
               |      |
               |      +-- User: "cn=Nitish Singh"
               |      |
               |      +-- User: "cn= Oliver Green"
               |
               +-- Organizational Unit (OU): "ou=Groups"
                      |
                      +-- Group: "cn=Admins"
                      |
                      +-- Group: "cn=Users"
|
+-- Group: “cn=Superusers”

L’entité racine est identifiée par DC, qui signifie l’attribut Domain Component. Ainsi, si « dc=com », l’entrée racine est identifiée comme le domaine « com ».

Sous racine, vous pouvez avoir plusieurs organisations ou domaines. Il est représenté par « dc=organisation ». sous le domaine « com ».

De même, chaque organisation peut avoir une ou plusieurs unités organisationnelles (UO). L’administrateur peut les organiser logiquement en subdivisions. Par exemple, vous pouvez définir l’unité d’organisation sur « utilisateurs », « groupes » ou « superutilisateurs ».

Enfin, sous chaque unité d’organisation, vous pouvez répertorier différentes entrées, y compris des groupes, des appareils, des utilisateurs, etc. Dans notre exemple, deux valeurs d’utilisateurs d’unité d’organisation incluent « Nitish Singh » et « Oliver Green ». De même, sous OU Groups, nous avons « Admins », « Users » et « Superusers ».

La structure du répertoire LDA dépend fortement du nom distinctif (DN) car il est utilisé pour identifier chaque entrée. En effet, il contient un nom unique et est utilisé pour récupérer le nom distinctif relatif (RDN).

Éléments communs LDAP

Pour comprendre l’organisation des données LDAP, nous devons comprendre les éléments communs de LDAP, qui conduisent à la construction des entrées du système LDAP.

Les composants de données LDAP de base incluent :

  • Les attributs:
  • Entrées :
  • Arbres d’informations sur les données

Les attributs

Les attributs dans LDAP sont des paires clé-valeur. Ceux-ci stockent les données dans le système LDAP. Par exemple, l’attribut mail doit être utilisé pour stocker le courrier dans le système LDAP.

poster: [email protected]

Entrées

Les entrées du système LDAP s’associent à l’attribution pour donner du sens. Vous pouvez considérer les entrées comme une collection d’attributs associés.

Par exemple, les données au format LDIF (LDAP Data Interchange Format) se présentent comme suit :

dn: sn=Hogwarts, ou=wizards, dc=WizardingWorld, dc=fiction

objectclass: wizard

sn: Hogwarts

cn: Harry Potter

Arbres d’informations sur les données

Les arbres d’information de données, ou DIT, représentent et accèdent aux données dans un système LDAP. Comme la plupart des données sont ramifiées, il est logique de les représenter sous forme d’arbres. Il est analogue à un système de fichiers avec une association parent-enfant.

Organisation des données LDAP

Maintenant, avec l’idée de base des entités, nous pouvons explorer l’organisation des données au sein du système LDAP.

Ici, LDAP utilise le DIT pour organiser et structurer les données. Cependant, comment y parvient-il ? Discutons-en ci-dessous.

Pour placer des entrées dans un DIT qui sont liées les unes aux autres de manière hiérarchique. Ainsi, lorsqu’une nouvelle entrée est créée, elle est ajoutée à la structure arborescente en tant qu’enfant d’une entrée existante.

Tout commence au sommet de l’arborescence hiérarchique du DIT. Comme il couvre toutes les entrées enfants, il est principalement étiqueté comme une organisation telle que « dc=com ou example. Ceci est fait en utilisant des composants de domaine pour assurer une gestion facile. De cette façon, l’administrateur peut définir l’emplacement à l’aide de l=location_name ou de segments organisationnels, tels que ou=tech, marketing, etc.

Les entrées utilisent objectClass d’unité d’organisation (OU). C’est parce que les entrées peuvent utiliser l’étiquette d’attribut ou=. Ils sont simples et offrent un excellent moyen de catégoriser et de trouver des informations dans le DIT.

Vient ensuite un autre concept important connu sous le nom de nom distinctif relatif. C’est le nom relatif d’un élément en fonction de son niveau hiérarchique DIT. Ainsi, pour accéder à une entrée, vous devez saisir les valeurs RDN de l’entité ainsi que la valeur RDN du parent.

Cela crée une chaîne de valeurs RDN, qui va de bas en haut, créant un chemin vers cette entrée. Et cette chaîne de valeurs RDN est connue sous le nom de « nom distinctif ou DN ».

En d’autres termes, vous devez mentionner le DN lors de la création de l’entrée afin que LDAP sache précisément où vous devez placer le nouvel actif ou les nouvelles informations. Ainsi, RDN agit comme une valeur relative, alors que DN est plutôt un chemin absolu.

Importance de LDAP

Dans cette section, nous examinerons l’importance de LDAP sous deux angles :

  • Gestion du service d’annuaire : le protocole LDAP dispose des moyens appropriés pour stocker et accéder aux données de l’annuaire LDAP. Nous en avons déjà parlé dans les sections « Fonctionnement de LDAP et des composants de données » et « Organisation ». LDAP est un moyen de gérer, de stocker, d’accéder et de sécuriser les données. Il assure également une recherche efficace des informations. De plus, il offre également évolutivité et réplication.
  • Authentification des utilisateurs : Outre la gestion des services d’annuaire, LDAP excelle dans l’authentification et l’autorisation des utilisateurs. Une fois la connexion créée, l’utilisateur peut accéder aux actifs stockés en fonction des règles d’accès définies par l’administrateur.

LDAP contre Active Directory

Il est courant que les gens confondent LDAP et Active Directory. LDAP et Active Directory de Microsoft travaillent en étroite collaboration pour fournir aux organisations un moyen de stocker et d’accéder en toute sécurité aux données organisationnelles de tous les services en toute sécurité.

Ainsi, LDAP est un protocole, tandis qu’Active Directory est un produit de service d’annuaire qui stocke les données organisationnelles dans une structure arborescente.

LDAP agit comme un protocole de communication pour accéder aux serveurs d’annuaire tels qu’Active Directory.

Conclusion

LDAP est un protocole clé pour travailler avec les services Active Directory. Il s’agit d’un protocole léger qui ne crée aucune surcharge sur les services et les serveurs avec lesquels il fonctionne. De plus, sa nature open source, indépendante du fournisseur et standardisée signifie qu’il peut facilement être intégré dans les solutions existantes.

Vous pouvez également explorer l’authentification multifacteur (MFA).