Ces dernières années les services d'annuaire ont vu leur cote monter dans les
entreprises. Le succès grandissant de Novell avec Novell Directory Services (NDS)
et le lancement par Microsoft d'Active Directory (AD) ont été des raisons suffisantes
pour décider un grand nombre d'entreprises à explorer le potentiel des services
d'annuaire dans leurs environnements.
L'interface proxy LDAP (Lightweight Directory Access Protocol) séduit les entreprises
en leur offrant un large éventail d'informations d'identité grâce à une réplique
virtuelle, sans la consommation de CPU impliquée par une duplication des données
et la propagation des changements à travers un réseau.
En 1995 LDAPv2 a inauguré un protocole d'accès d'annuaire standard et, en 1997,
LDAPv3 a étendu le protocole en lui ajoutant plusieurs fonctions.
Pour tout savoir sur LDAP, voir les RFC (Request for Comments) 1 777, pour LDAPv2,
et 2 251, pour LDAPv3, de l'IETF à l'adresse
http://www.ietf.org/rfc.html
Les éditeurs ont immédiatement commencé à développer des produits LDAP.
Par exemple, Microsoft a permis la consultation d'Exchange Server au moyen de
LDAP. Dans d'autres produits compatibles LDAP, les éditeurs s'appuient sur un
annuaire LDAP disponible pour stocker des données sur les utilisateurs, leurs
profils et des informations de configuration.
Par exemple, les produits SiteMinder de Netegrity et FireWall-1 de Check Point
Software Technologies utilisent soit des services d'annuaires propriétaires, soit
un service d'annuaire d'éditeur tiers, comme Netscape Directory Server, pour stocker
des informations sur les utilisateurs et les stratégies.
Pour un produit maintenant une base de données d'utilisateurs ou un annuaire interne,
il ne faut que quelques efforts de développement pour permettre la consultation
de la base de données ou de l'annuaire via LDAP. En revanche l'utilisation d'annuaires
LDAP est plus difficile car les produits LDAP comptent sur une entreprise pour
avoir un annuaire supportant les besoins spécifiques des applications.
La fonctionnalité LDAP rend aussi plus difficile le support entre produits.
Lorsque AD aura acquis une position de force et offrira un niveau de service garanti
et des informations sur lesquelles les autres applications pourront s'appuyer,
on assistera probablement à une forte reprise de l'activité LDAP.
Actuellement, trois éditeurs proposent des serveurs proxy LDAP autonomes : Innosoft
International, avec ILPS (Innosoft LDAP Proxy Server), MaXware Benelux avec MLPS
(MaXware LDAP Proxy Server) et NEXOR avec DBA (Directory Boundary Agent).
La médiation LDAP peut aider à garder le contrôle lorsqu'il s'agit d'accorder
l'accès à plusieurs ressources compatibles LDAP, en l'absence de solution de métaannuaire
intégrale ou d'une maîtrise totale des ressources compatibles LDAP, dont il faut
autoriser l'accès.
Nous allons examiner les services proxy LDAP liés aux services d'annuaire, un
certain nombre de serveurs proxy LDAP disponibles, ainsi que les limites et les
avantages de l'utilisation d'un proxy LDAP. Je donnerai également quelques conseils
sur l'opportunité d'une implémentation de services proxy.
Un proxy LDAP est un médiateur entre un client LDAP et une ou plusieurs
ressources compatibles LDAP, généralement des serveurs
Contrôlez vos services d’annuaire avec un proxy LDAP
Un proxy LDAP est un médiateur entre un client LDAP et une ou plusieurs ressources
compatibles LDAP, généralement des serveurs. Le rôle du proxy est de diriger et
de transformer de façon transparente les requêtes adressées aux serveurs LDAP,
puis de filtrer les réponses renvoyées au client au moment de la consultation.
On peut citer comme exemples de solutions compatibles LDAP à utiliser avec un
proxy, Echange Server, NDS et Windows 2000 avec AD.
Si nécessaire, un proxy LDAP supporte la différentiation des niveaux de sécurité
entre authentifications et autorisations. Il permet une configuration à granularité
fine des contrôles d’accès et des filtres, ce que n’offrent pas tous les annuaires
LDAP, et peut servir à glisser une couche d’abstraction entre des clients LDAP
et une ou plusieurs solutions de sécurité natives des serveurs LDAP.
La plupart des proxy LDAP permettent généralement deux types d’authentification
et d’autorisation. Ils supportent l’authentification « pass through », basée sur
les références accompagnant la requête et opèrent en mode super-utilisateur ou
administrateur, ce qui implique la mise en oeuvre de contrôles d’accès supplémentaires
sur le serveur proxy. Sous un autre angle, on peut rapprocher le proxy LDAP du
concept de métaannuaire (peut-être même les mettre en concurrence).
Pour localiser une copie d’un annuaire externe au firewall d’une entreprise, il
faut instaurer des règles de synchronisation et gérer la disponibilité de l’annuaire
externe. Autre possibilité, le proxy LDAP collabore par le biais du firewall avec
l’annuaire interne et permet de gérer dynamiquement la transformation des données,
leur disponibilité et les besoins de sécurité.
On peut aussi utiliser un plug-in (pré ou post-plug-in) sur le serveur d’annuaires,
pour intercepter efficacement la requête à l’entrée et à la sortie du serveur.
Netscape fait appel à cette solution ; mais pour assurer cette fonctionnalité,
il faut coder un programme en langage C.
Les proxy LDAP diffèrent de la Java Naming and Directory Interface (JNDI) et des
Active Directory Service Interfaces (ADSI), qui offrent une API pour accéder à
plusieurs annuaires à partir du client.
Microsoft propose ADSI comme principale API pour la programmation à destination
d’AD et de LDAP pour s’adresser aux serveurs AD. JNDI et ADSI laissent à l’application
cliente la responsabilité de gérer et de comprendre les divers annuaires qu’elles
interrogent. Elles abrègent les formats des requêtes grâce à leurs API.
Comme les serveurs proxy LDAP gèrent les requêtes LDAP standards, il est tout
de même possible d’utiliser JNDI et ADSI pour effectuer une requête par l’intermédiaire
d’un proxy LDAP.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
