轻量级目录访问协议(LDAP)是目前主流的身份验证协议之一,由密歇根大学的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年创建,又经过了 Internet 工程任务组(IETF)的标准化,通过网络分发目录信息,扮演了身份源(IdP)的角色。
LDAP 在现代网络中的重要性在于该协议参与共享企业中有关用户、设备、网络和应用程序的全部信息,并且负责把控对 IT 资源的访问授权。现在我们来深入了解下保障LDAP 目录服务用户安全的最佳实践。
一、LDAP 的实施
当员工需要访问 LDAP 数据库或使用需要经过 LDAP 认证的 IT 资源时,通常会输入用户名密码然后等待目录服务器授权。服务器收到用户的登录信息后会和存储在 LDAP 数据库中的身份凭证进行匹配,匹配一致后即可授予访问权限。
目前最常用的一种传统商业化 LDAP 实施(又称目录服务)是微软的 Active Directory (AD)。很多企业都采用 AD 来管理用户信息、验证用户访问,而 AD 的首选验证协议是 Kerberos。除此之外,还有很多支持 LDAP 协议的目录服务,包括开源的 Red Hat Directory Service、OpenLDAP、Apache Directory Server 、NDS(Nington Directory Service,宁盾目录服务)等等。
当前还出现了一种新的 LDAP 服务形态,即云 LDAP(Directory as a Service,DaaS)。
二、LDAP 中的用户安全
存储在 AD、OpenLDAP等目录服务中的凭证就是进入企业数据库的钥匙,这已经是公开的秘密,因此目录服务的数据安全不言而喻。一旦黑客破解了其中一个用户账号,企业就需要和时间赛跑,阻止黑客访问关键数据。为了避免其利用 LDAP 中的凭证获取访问权限,就需要未雨绸缪,首先加强 LDAP 目录服务的账号安全。以下是保护 LDAP 用户安全的最佳实践:
1. 设置密码策略
正确的密码策略是保护LDAP 安全的第一步。由于LDAP 是一种身份认证系统,因此必须完善配置,要求管理员在内的所有用户都提供强密码。
一个安全的LDAP 服务应该要求用户设置复杂难破解的密码,也就是包含尽可能多字符的长密码。大多数 LDAP 服务都可以设置系统内使用的密码条件。
有些企业还会要求用户每几个月就轮换一次密码,这样会给员工带来困扰,而且频繁更换密码导致用户为了方便记忆而只设置相似密码。
但无论企业的安全规范具体如何,使用安全度高的密码在防止密码泄露方面还是很重要的,所以还是建议密码越长越好。(后文也将会讲述如何避免频繁更换密码带来的不满。)
2. 保护密码存储
确定了合适的密码策略后,IT 部门还必须在服务器上实施控制工具以管理密码存储。这里强烈建议使用哈希加密算法保护存储的密码,再使用加盐哈希算法进一步增加数据库的破解难度。需要注意的是,密码绝不能存储在纯文本环境中。另外在传输过程中,还必须通过SSL 或 TLS 对密码进行隧道传输。
3. 防范 LDAP 网络钓鱼和欺骗
LDAP 欺骗攻击一般有两种实现方法:第一种类似于钓鱼URL链接,通过仿冒真实的URL诱导用户输入真实的AD域账号和密码;另外一种是诱导用户安装恶意的浏览器插件,然后重定向到伪地址,同样欺骗用户以获取到AD登录信息。这样黑客就能够窃取到企业的敏感数据。
要避免这类LDAP欺骗攻击必须采用强力的恶意软件控制工具,同时针对用户展开长期安全培训。还有一种高效的方法是采用多因素认证(MFA),用户只需多花几秒钟输入一次性动态口令(TOTP)作为辅助凭证,即便AD账号或LDAP账号信息泄露,黑客拿不到辅助凭证也无济于事,这样就可以阻止很多潜在的攻击。
另外,LDAP 服务的MFA方案还有一个好处,即企业无需要求用户定期改密,动态密码是足够安全的 LDAP 账号保护手段,避免了定期改密的安全规范引起的员工不满。为了让用户习惯使用多因素认证,管理员可以设置动态口令延迟启用期,在用户被培训、告知后再强制员工启用多因素认证。同时还可以设置信任终端时长/数量尽量不干扰用户,不影响工作效率。
三、基于云的 LDAP 目录方案
前文提到的云LDAP 服务的形态的出现,是云计算趋势的一个体现。基于云的 LDAP 解决方案,使得企业以较少的前期投资和极少的IT人员投入,实现快速开通、启用LDAP服务。且LDAP 云服务的预配置模式,实现了轻量化运维,还可以根据业务增长需要灵活扩展。
对于上一章节中提到的LDAP 用户安全最佳实践, LDAP 云服务方案都能满足。
NingDS身份目录云就是一种 LDAP 云服务,通过 LDAP 认证实现对应用程序、本地设备、VPN、NAS 等各类 IT 资源的统一安全管理,开箱即用,无需本地部署。所有数据在传输过程中都支持 SSL 加密,存储在 NingDS 服务中的 LDAP 密码也经过加密处理,有效保障凭证安全。
此外,NingDS 还内置了云 MFA 能力,LDAP 服务和 MFA 服务天然集成,可以无门槛地、无缝地将 MFA应用于LDAP 认证场景。