INTRODUZIONE
LDAP e Active Directory sono due termini comuni quando si parla d'Identity and Access Management (IAM). Alcune persone li usano in modo intercambiabile. Tuttavia, non sono la stessa cosa.
Mentre Active Directory è un server di directory che memorizza informazioni sull'utente come nomi utente, numeri di telefono e indirizzi e-mail, LDAP è un protocollo che consente di leggere e modificare tali informazioni.
Puoi anche adoperare LDAP al fine di autenticare gli utenti utilizzando l'operazione Bind.
Sebbene LDAP sia il protocollo principale alla base di Active Directory, è possibile utilizzare LDAP per eseguire query su qualsiasi altro database di directory che lo supporta, ad esempio OpenLDAP e FreeIPA.
Ma in che modo differiscono LDAP e Active Directory?
PERCHE' LE AZIENDE DOVREBBERO USARE ACTIVE DIRECTORY?
Active Directory (AD) è il servizio di directory proprietario di Microsoft per le reti di dominio Windows. Comprende un database (chiamato directory) e vari servizi, che lavorano insieme per autenticare e autorizzare gli utenti.
Le reti LAN e gli ambienti tecnologici possono essere molto complicati e gli amministratori IT hanno la necessità di semplificare il loro lavoro il più possibile, così da non perdere troppo tempo a gestire decine o centinaia di account utente sparsi un pò ovunque. Inoltre, gli utenti trovano spesso scomodo dover ricordare e fornire un diverso set di credenziali per ogni applicazione che utilizzano.
Adottando Active Directory, cioè una singola directory che memorizza, in maniera centralizzata, tutte le informazioni relative a tutti gli utenti (nome, numero di telefono, credenziali, ecc.) e ai dispositivi dell'organizzazione, si alleggerirà il carico di lavoro per gli amministratori di sistema e si eliminerà, al contempo, la necessità di fornire un diverso set di credenziali per ogni applicazione impiegata dagli utenti.
In un'azienda equipaggiata con AD e con SSO (Single Sign On) attivo, quando un amministratore deve cambiare l'account di un utente, apporta tale modifica in un unico posto in Active Directory. Se l'azienda non avesse utilizzato Active Directory, l'amministratore avrebbe dovuto applicare tale modifica in ogni singola applicazione, con un maggiore dispendio di energie. In definitiva, Active Directory consente di risparmiare tempo e carico di lavoro.
I vantaggi sopra elencati per Active Directory si applicano anche ad altri server di directory. Tali fornitori di identità esterni consentono agli amministratori di gestire le identità in un luogo centralizzato e di apportare modifiche a più applicazioni e servizi da un'unica posizione.
Con un sistema come quello descritto, diventa più semplice gestire anche i privilegi da assegnare agli utenti o a gruppi dei medesimi.
COME E' COMPOSTA LA STRUTTURA DI ACTIVE DIRECTORY?
Active Directory è articolata nei seguenti componenti:
- Utenti e computer – Gli articoli rappresentano un particolare account utente o un computer nella società; ogni account utente è descritto dai suoi attributi, ad esempio nome, indirizzo email, posizione, ecc.
- Unità organizzative (OU) – Utilizzato per organizzare utenti, gruppi, computer e altre unità organizzative.
- Domini - Raccolta di utenti, gruppi, computer, OU.
- Alberi – Uno o più domini in una gerarchia logica che definisce la fiducia tra i domini.
- Foresta – Un livello superiore nella gerarchia che contiene un gruppo di alberi.
CHE COS'E' LDAP?
Lightweight Directory Access Protocol (LDAP) è un protocollo che le applicazioni possono impiegare per dialogare con i servizi di directory come Active Directory, i,mpiegando a tal fine un server LDAP.
Il protocollo LDAP interroga le informazioni dell'utente per leggerle, modificarle o aggiornarle.
Durante l'autenticazione dell'utente, LDAP può associarsi al database dei servizi di directory, ad esempio Active Directory.
Se da un lato esistono metodi di autenticazione avanzati, basati sull'impiego di un token, come Kerberos, e certificati client, dall'altro l'autenticazione più semplice è limitata alla verifica dell'esattezza della password associata ad un determinato nome utente, riscontrando se le credenziali inserite in un modulo di accesso dell'applicazione siano conformi a quelle memorizzate in un server di directory. Se le informazioni inserite sono corrette, viene autorizzato l'accesso dell'utente viene effettuato l'accesso o, in caso contrario, gli viene negato.
Spesso le persone adoperano il nome LDAP quando intendono in realtà riferirsi ad un server LDAP. Un server LDAP è un qualsiasi server di directory che supporti il protocollo LDAP, quali ad esempio:
- FreeIPA
- OpenLDAP
- Apache Directory Server
- Active Directory
- ecc.
COME FUNZIONA L'AUTENTICAZIONE LDAP?
L'autenticazione LDAP funziona in base a un'operazione vincolante. L'operazione LDAP Bind avvia una sessione tra l'utente e il server, durante la quale un'applicazione abilitata LDAP invia le credenziali dell'utente a un servizio di directory come Active Directory per verificare se sono corrette.
- L'utente inserisce le credenziali.
- Il protocollo LDAP invia le credenziali al server LDAP
- Il server LDAP controlla le credenziali rispetto al database, decide se le credenziali sono corrette e prepara la risposta
- Il protocollo LDAP prende la risposta del server LDAP e lo invia all'applicazione
- L'applicazione riceve la risposta e agisce su di essa, ad esempio, se la risposta corrisponde ad un'autorizzazione, l'applicazione accede all'utente, altrimenti visualizzerà un messaggio del tipo "Nome utente o password errato"
PRINCIPALI DIFFERENZE TRA LDAP E ACTIVE DIRECTORY
Nella seguente tabella sono riepilogate le principali differenze tra LDAP e AD:
| LDAP | AD |
|---|---|---|
Nome completo | Lightweight Directory Access Protocol | Active Directory |
Funzione | Protocollo | Directory Service Provider (Directory Server) |
Standard | Opensource | Proprietario |
Sistemi operativi supportati | Cross platform: MS Windows, Linux, MacOS | MS Windows |
Funzionamento di base | Interrogazione e modifca degli elementi gestiti dai Directory Service Provider | Fornire autenticazione, criteri, gestione di gruppi, utenti e molti altri servizi sotto forma di un database di directory |
HARDENING DI UN SISTEMA DI AUTENTICAZIONE E AUTORIZZAZIONE CENTRALIZZATO
Il controllo centralizzato degli accessi garantisce molti vantaggi, come quelli prima descritti, tuttavia quando non sufficientemente protetto può anche costituire un rischio per la sicurezza, dal momento che un cyber-criminale che riuscisse a guadagnare le credenziali di un utente o, peggio ancora, di un amministratore di sistema, avrebbe facile accesso ad una pluralità di applicazioni, o persino a tutti i sistemi.
Non a caso gli account degli amministratori di Active Directory sono un obiettivo di grande interesse per gli hacker.
Sebbene l'autenticazione basata su password è la forma più popolare di verifica dell'identità di un utente, purtroppo, le password sono facilmente hackerabili, contribuendo a un rischio maggiore di compromissione dell'intera infrastruttura Active Directory.
Per ovviare a questi rischi è opportuno procedere a quello che è definito hardening, cioè un irrobustimento delle configurazioni e l'adozione di misure atte a proteggere un tale sistema centralizzato, quale ad esempio l'autenticazione multifattoriale (MFA).
Per approfondire altre misure per mettere in sicurezza la tua rete, leggi il post "Sicurezza informatica delle reti LAN: Come difendere il castello".
