LDAP چیست؟

LDAP چیست

LDAP چیست؟

By شبکه

پروتکل LDAP چیست؟

LDAP روش استانداردی برای دسترسی و به روزرسانی فهرست های(دایرکتوری های) توزیع شده (Distributed) ارائه می دهد. LDAP مخفف Lightweight Directory Access Protocol است و مجموعه ای از پادمان ها (Protocols) و متدها، برای دسترسی به اطلاعات شاخه های توزیع شده است. متدهایی که در LDAP در اختیار دارید به شما این امکان را می‏دهد تا از اطلاعاتی که در درخت اطلاعات شاخه ها (Directory Information Tree – DIT) قرار دارد استفاده کنید. برای مثال در یک شبکه، این درخت شامل اطلاعاتی از اشیاء موجود در شبکه مانند کاربران، پرینترها، برنامه ها و … است.

ال‌دپ از استانداردهای موجود در X.500 ( استاندارد X.500 یک استاندارد جامع تر برای تعریف، نگهداری و مدیریت دایرکتوری های عمومی است. این استاندارد برای نگهداری اطلاعات عمومی (جهانی) استفاده می شود مانند آنچه در DNS استفاده شده است) پیروی می کند. اما LDAP از آن ساده تر و عملی تر است و برخلاف X.500، TCP/IP را نیز پشتیبانی می کند که برای استفاده در اینترنت نیز مفید است. ال‌دپ سبک تر از X.500 است و به همین دلیل گاهی به آن X.500 Lite نیز گفته می شود.

پروتکل LDAP چیست

اما X.500 یک مدل کلی برای سرویس های مرتبط با دایرکتوری ها، در (OSI (Open System Interconnection است. این مدل شامل چهارچوب های کلی و پادمان هایی برای به روز نگه داشتن شاخه و پرسش و جو (query) از آن است. پادمان اصلی موجود در X.500 ، DAP است که ساختار کامل و توابع بسیار زیادی دارد. همین عامل باعث پیچیدگی در آن شده است و استفاده از X.500 را مشکل کرده است.برخلاف X.500 ، LDAP از مقبولیت خوبی برخوردار است و به یک فناوری استراتژیک تبدیل شده است که اکثر تولیدکنندگان نرم افزار از آن پشتیبانی می کنند.

سرویس Active Directory چیست ؟

اکتیودایرکتوری یک Directory Service است که توسط شرکت مایکروسافت طراحی و معرفی شده است. Active Directory با استفاده از Protocol و استانداردهای متنوعی که دارد قابلیت ارائه خدمات و سرویس های شبکه ای را دارا می باشد. Active Directory بصورت کامل از ال‌دپ نسخه دو LDAP ورژن 3 پشتیبانی می کند و به همین خاطر است که هر چیزی که در ال‌دپ سرور می توانید انجام دهید در Active Directory هم می توانید انجام دهید.

سرویس دایرکتوری مایکروسافت در خصوص احراز هویت از پروتکل Kerberos پشتیبانی می کند. سرویس هایی که Active Directory ارائه می دهد بر اساس سرویس DNS هستند و از همه مهمتر بزرگترین قابلیت اکتیودایرکتوری مدیریت و نظارت بر کلیه فرآیند های شبکه بصورت مرکزی است. تمامی اطلاعات و Object هایی که در شبکه وجود دارند بصورت مرکزی در پایگاه داده Active Directory ذخیره می شوند. اکتیودایرکتوری با استفاده از مکانیزم SSO ای که ارائه می دهد امکان مدیریت دسترسی و سطوح دسترسی به منابع شبکه را بصورت متمرکز ارائه می کند.

سرویس Active Directory چیست

مقایسه Active Directory و LDAP

  • اکتیودایرکتوری یک Service Provider برای دایرکتوری است
  • LDAP یک Application Protocol است که توسط Directory Service Provider استفاده می شود
  • اکتیودایرکتوری و Open LDAP دو محصولی هستند که از LDAP برای سرویس دهی استفاده می کنند
  • احراز هویت در AD توسط پروتکل Kerberos را پشتیبانی می کند
  • اکتیودایرکتوری سرویس معرفی شده توسط شرکت Microsoft است
  • LDAP یک پروتکل است و توسط دانشگاه MIT طراحی شده است
  • اکتیودایرکتوری فقط روی سیستم عامل های ویندوز سرور مایکروسافت قابل اجرا است
  • LDAP فارق از هر نوع سیستم عامل قابل استفاده است
  • استخراج اطلاعات از سرور اکتیو دایرکتوری با LDAP صورت می گیرد

مقایسه Active Directory و LDAP

برای چه از LDAP استفاده کنیم؟!

بیشترین استفاده هایی که از پروتکل ال‌دپ می‌شود احراز هویت می‌باشد‌‌. زیرا اکثر تجهیزات همچون فایروال های سخت افزاری، روترها و سرورها به راحتی از LDAP پشتیبانی می‌کنند و می‌توانیم با قرار دادن UserName و Password فرایند احراز هویت خودمان را با استفاده از پروتکل LDAP به راحتی فراهم سازیم.

از جمله تجهیزات و نرم افزارهایی که از این پروتکل برای احراز هویت خود استفاده و یا پشتیبانی می‌کنند عبارتند از Docker, Jenkins, Kubernetes, Open VPN و پروتکل اشتراک گذاری فایل لینوکسی Samba‌. علاوه بر این مدیران سیستم و متخصصین از LDAP برای مدیریت و دسترسی بهتر به پایگاه های داده نیز استفاده می‌کنند.

LDAP

بررسی LDAP Authentication

دو روش برای پیاده سازی احراز هویت در LDAPv3 وجود دارد.

  • گزینه Simple
  • گزینه (SASL(Simple Authentication Security Layer

احراز هویت Simple

اینگونه احراز هویت در LDAP به سه شکل ارائه می‌شود که به شرح زیر هستند:

  • Anonymous Authentication: در این روش به شکل ناشناس کاربران در LDAP احراز هویت می‌کنند و وضعیت آنها را ارائه می‌دهند.
  • Unauthenticated authentication: از این روش فقط برای اهداف خاص استفاده می‌شود و کاربر اجازه دسترسی به منابع و فایل هارا ندارد.
  • UserName/Password Authentication: این روش همانطور که از اسم آن‌هم پیداست از احراز هویت بر اساس UserName و Password استفاده می‌کنند اما استفاده از این روش درصورتی که از پروتکل ایمنی برای رمزنگاری استفاده نشود کار معقولی نمی‌باشد.

LDAP Authentication

احراز هویت SASL

روش احراز هویت برپایه SASL در واقع LDAP را به یک مکانیزم احراز هویت دیگر مانند Kerberos متصل می‌سازد. سرور ال‌دپ ما از طریق پروتکل LDAP پیغام های LDAP را به سمت یک سرویس دیگر به منظور انجام احراز هویت انتقال می‌دهد.

تزریق LDAP یا حملات LDAP چیست؟

تزریق LDAP یا حملات ال‌دپ یک آسیب پذیری است که در آن نمایش داده ها از ورودی غیرقابل اعتماد بدون اعتبار سنجی قبلی ساخته می شود. LDAP از پرس و جوهای ساخته شده از محمولات استفاده می کند که شامل استفاده از کاراکترهای خاص (به عنوان مثال ، براکت ها ، ستاره ها ، آمپرها یا نقل قول ها) است. خصوصیات متاگاری مانند اینها معنی پرس و جو را کنترل می کند. از این طریق ، بر نوع و تعداد اشیاء بازیابی شده از فهرست زیر تأثیر می گذارد. اگر یک مهاجم بتواند ورودی حاوی این شخصیت های کنترل را ارسال کند ، می تواند پرس و جو را تغییر داده و رفتار مورد نظر را تغییر دهد.

تزریق ال‌دپ یا حملات ال‌دپ

مقابله به حمله تزریق ال‌دپ

حمله تزریق ال‌دپ در سال‌های اخیر بسیار فراگیر شده است؛ دلیل فراگیری این حملات عبارت است از:

  • استفاده از رابط‌های نامناسب و ناامن برای تولید و استفاده از پرس‌وجوهای ال‌دپ
  • استفاده فراگیر از ال‌دپ برای احراز هویت در اکثر سامانه‌های مدیریت متمرکز

  • در اولین قدم برای جلوگیری از این حمله باید از چارچوب‌های نرم‌افزاری امن و استاندارد استفاده کرد. در قدم دوم باید حتما از اعتبارسنجی مناسب ورودی‌ها اطمینان حاصل کرد. برای این کار می‌توان از ورود کاراکترهایی نظیر «*» جلوگیری کرد.

Share this post

Author

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Related Posts

Load balancing

Load Balancing چیست و Load Balancer ها چگونه عمل می کنند؟

Load balancing و Load Balancer چیست؟ لود بالانسینگ (Load balancing) و لود بالانسر (Load Balancer) دو مفهوم مهم در شبکه... read more

نصب پلاگین در دایرکت ادمین

نصب پلاگین در دایرکت ادمین

نصب پلاگین در دایرکت ادمین نصب پلاگین ها در سیستم ها و برنامه های مختلف قابلیت ها و امکانات جدید... read more

آدرس IP

آدرس IP چیست؟

آدرس آی پی (IP Address) چیست؟ آدرس IP یک شناسه آنلاین منحصر بفرد است. هر کامپیوتر در شبکه IP منحصر... read more

پروتکل

پروتکل چیست؟

پروتکل پروتکل (Protocol) در مباحث کامپیوتری، شبکه، اینترنت و در کل فناوری اطلاعات، به قراردادی گفته می‌شود که شامل مجموعه... read more

دامین کنترلر

دامین کنترلر چیست ؟

دامین کنترلر چیست ؟ ? دامین کنترلر، سروری است که نسخه‌ای از Active Directory را ذخیره کرده و از دیتا... read more

نصب وردپرس در ساب فولدر

نصب وردپرس در ساب فولدر سی پنل

نصب وردپرس در ساب فولدر نصب وردپرس در ساب فولدر و ساب دامین این امکان را برای وبسایت شما فراهم... read more

پروتکل HTTP چیست و چه تفاوتی با پروتکل HTTPS دارد؟

تعریف پروتکل HTTP پروتکل HTTP (پروتکل انتقال ابرمتنی) که خلاصه و نشان دهنده عبارت Hyper Text Transfer Protocol است؛ یک... read more

رمزنگاری

رمزنگاری (Encryption) چیست ؟

رمزنگاری (Encryption) چیست ؟ ? رمزنگاری یا Encryption به فرایندی گفته میشود که در آن اطلاعات خصوصی یا محرمانه با... read more

راه‌اندازی بسته نصبی وردپرس

راه‌اندازی بسته نصبی وردپرس در سی پنل

راه‌اندازی بسته نصبی وردپرس در سی پنل ♦️در این مقاله به آموزش راه‌اندازی بسته نصبی وردپرس در سی پنل می... read more

نصب وردپرس در ادان دامین سی پنل

نصب وردپرس در ادان دامین سی پنل ?از آنجایی که وردپرس به عنوان یک سیستم مدیریت محتوا محبوب به یکی... read more