如何保护 LDAP 目录服务中的用户安全？

欢迎大家来到IT世界,在知识的湖畔探索吧!

欢迎大家来到IT世界,在知识的湖畔探索吧!

轻量级目录访问协议（LDAP）是目前主流的身份验证协议之一，由密歇根大学的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年创建，又经过了 Internet 工程任务组（IETF）的标准化，通过网络分发目录信息，扮演了身份源（IdP）的角色。

一、LDAP 的实施

当员工需要访问 LDAP 数据库或使用需要经过 LDAP 认证的 IT 资源时，通常会输入用户名密码然后等待目录服务器授权。服务器收到用户的登录信息后会和存储在 LDAP 数据库中的身份凭证进行匹配，匹配一致后即可授予访问权限。

目前最常用的一种传统商业化 LDAP 实施（又称目录服务）是微软的 Active Directory （AD）。很多企业都采用 AD 来管理用户信息、验证用户访问，而 AD 的首选验证协议是 Kerberos。除此之外，还有很多支持 LDAP 协议的目录服务，包括开源的 Red Hat Directory Service、OpenLDAP、Apache Directory Server 、NDS（Nington Directory Service，宁盾目录服务）等等。

当前还出现了一种新的 LDAP 服务形态，即云 LDAP（Directory as a Service，DaaS）。

二、LDAP 中的用户安全

存储在 AD、OpenLDAP 等目录服务中的凭证就是进入企业数据库的钥匙，这已经是公开的秘密，因此目录服务的数据安全不言而喻。一旦黑客激活成功教程了其中一个用户账号，企业就需要和时间赛跑，阻止黑客访问关键数据。为了避免其利用 LDAP 中的凭证获取访问权限，就需要未雨绸缪，首先加强 LDAP 目录服务的账号安全。以下是保护 LDAP 用户安全的最佳实践：

1. 设置密码策略

正确的密码策略是保护 LDAP 安全的第一步。由于 LDAP 是一种身份认证系统，因此必须完善配置，要求管理员在内的所有用户都提供强密码。

一个安全的 LDAP 服务应该要求用户设置复杂难激活成功教程的密码，也就是包含尽可能多字符的长密码。大多数 LDAP 服务都可以设置系统内使用的密码条件。

但无论企业的安全规范具体如何，使用安全度高的密码在防止密码泄露方面还是很重要的，所以还是建议密码越长越好。（后文也将会讲述如何避免频繁更换密码带来的不满。）

2. 保护密码存储

确定了合适的密码策略后，IT 部门还必须在服务器上实施控制工具以管理密码存储。这里强烈建议使用哈希加密算法保护存储的密码，再使用加盐哈希算法进一步增加数据库的激活成功教程难度。需要注意的是，密码绝不能存储在纯文本环境中。另外在传输过程中，还必须通过 SSL 或 TLS 对密码进行隧道传输。

3. 防范 LDAP 网络钓鱼和欺骗

LDAP 欺骗攻击一般有两种实现方法：第一种类似于钓鱼URL链接，通过仿冒真实的URL诱导用户输入真实的AD域账号和密码；另外一种是诱导用户安装恶意的浏览器插件，然后重定向到伪地址，同样欺骗用户以获取到AD登录信息。这样黑客就能够窃取到企业的敏感数据。

三、基于云的 LDAP 目录方案

前文提到的云LDAP 服务的形态的出现，是云计算趋势的一个体现。基于云的 LDAP 解决方案，使得企业以较少的前期投资和极少的IT人员投入，实现快速开通、启用LDAP服务。且 LDAP 云服务的预配置模式，实现了轻量化运维，还可以根据业务增长需要灵活扩展。

对于上一章节中提到的LDAP 用户安全最佳实践， LDAP 云服务方案都能满足。

此外，NingDS 还内置了云 MFA 能力，LDAP 服务和 MFA 服务天然集成，可以无门槛地、无缝地将 MFA 应用于 LDAP 认证场景。