Qu’est-ce que l’authentification LDAP ?
Comme indiqué précédemment, les annuaires LDAP hébergent et partagent les identités, les mots de passe et les autres données d’authentification des utilisateurs et des groupes. L’authentification LDAP est le processus de vérification d’une connexion (nom d’utilisateur et mot de passe) avec votre annuaire LDAP.
Le processus d’authentification recherche dans un premier temps le nom d’utilisateur entré dans votre annuaire. S’il le trouve, l’authentificateur vérifie ensuite le mot de passe de l’utilisateur. Si l’annuaire confirme que le nom et le mot de passe de l’utilisateur correspondent, l’utilisateur est authentifié et autorisé à accéder. Sinon, l’accès lui est refusé.
Options d’authentification LDAP
Pour démarrer une session LDAP, un client doit se connecter à un serveur d’annuaire appelé Directory System Agent (DSA). Par défaut, un serveur est configuré pour utiliser un port TCP spécifique, numéro 389. Une fois la connexion établie, un client et un serveur peuvent échanger les informations nécessaires.
Vous pouvez effectuer de nombreuses opérations sur LDAP, comme les suivantes : Ajouter, Lier, Supprimer, Modifier et Dissocier. Il existe deux options pour l’authentification LDAP qui sont l’authentification simple et SASL (Simple Authentication and Security Layer).
Authentification simple
L’authentification simple est un facteur d’authentification à base de mot de passe qui fournit trois mécanismes d’authentification. Ceux-ci comprennent l’authentification anonyme, l’authentification non authentifiée et l’authentification par nom/mot de passe.
L’authentification simple utilise un nom distinctif (DN) et un mot de passe dans une demande de liaison pour obtenir l’authentification LDAP. L’application client utilise le nom distinctif fourni pour s’identifier lors de l’interaction avec le serveur. Le mot de passe permet ensuite l’authentification du nom distinctif.
Authentification SASL
L’authentification SASL attache un serveur LDAP à un mécanisme d’authentification différent, tel que Kerberos. Le serveur LDAP envoie alors un message LDAP à un autre service d’autorisation via le protocole LDAP. Ce processus commence par une série de messages de réponse de requête. Finalement, cela conduit à une authentification réussie (lier) ou erronée (dissocier). Il est important d’ajouter le chiffrement TLS (Transport Layer Security) pour l’appartenance de groupe, le contrôleur de domaine, l’adresse IP ou un autre client LDAP. C’est un moyen simple de sécuriser les noms et les mots de passe des utilisateurs de votre entreprise.
Requête LDAP
Une requête LDAP est un autre composant du processus d’authentification LDAP. La requête LDAP est une commande qui demande des informations d’annuaire à un service d’annuaire ou à un agent de système d’annuaire. Elle est utilisée pour des demandes telles qu'une demande d'information sur un utilisateur final basée sur un certain filtre de recherche. Cependant, les requêtes LDAP utilisent souvent une syntaxe ou un schéma complexe qui les rend trop difficiles à écrire. Elles sont souvent créées par l’intermédiaire d’une interface de gestion de type pointer-cliquer, qui gère les processus de consultation et de requête d’entrées LDAP.