輕量級目錄訪問協議（LDAP）是目前主流的身份驗證協議之一，由密歇根大學的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年創建，又經過了 Internet 工程任務組（IETF）的标準化，通過網絡分發目錄信息，扮演了身份源（IdP）的角色。

LDAP 在現代網絡中的重要性在于該協議參與共享企業中有關用戶、設備、網絡和應用程序的全部信息，并且負責把控對 IT 資源的訪問授權。現在我們來深入了解下保障 LDAP 目錄服務用戶安全的最佳實踐。

一、LDAP 的實施

當員工需要訪問 LDAP 數據庫或使用需要經過 LDAP 認證的 IT 資源時，通常會輸入用戶名密碼然後等待目錄服務器授權。服務器收到用戶的登錄信息後會和存儲在 LDAP 數據庫中的身份憑證進行匹配，匹配一緻後即可授予訪問權限。

目前最常用的一種傳統商業化 LDAP 實施（又稱目錄服務）是微軟的 Active Directory （AD）。很多企業都采用 AD 來管理用戶信息、驗證用戶訪問，而 AD 的首選驗證協議是 Kerberos。除此之外，還有很多支持 LDAP 協議的目錄服務，包括開源的 Red Hat Directory Service、OpenLDAP、Apache Directory Server 、NDS（Nington Directory Service，甯盾目錄服務）等等。

當前還出現了一種新的 LDAP 服務形态，即雲 LDAP（Directory as a Service，DaaS）。

二、LDAP 中的用戶安全

存儲在 AD、OpenLDAP 等目錄服務中的憑證就是進入企業數據庫的鑰匙，這已經是公開的秘密，因此目錄服務的數據安全不言而喻。一旦黑客破解了其中一個用戶賬号，企業就需要和時間賽跑，阻止黑客訪問關鍵數據。為了避免其利用 LDAP 中的憑證獲取訪問權限，就需要未雨綢缪，首先加強 LDAP 目錄服務的賬号安全。以下是保護 LDAP 用戶安全的最佳實踐：

1. 設置密碼策略

正确的密碼策略是保護 LDAP 安全的第一步。由于 LDAP 是一種身份認證系統，因此必須完善配置，要求管理員在内的所有用戶都提供強密碼。

一個安全的 LDAP 服務應該要求用戶設置複雜難破解的密碼，也就是包含盡可能多字符的長密碼。大多數 LDAP 服務都可以設置系統内使用的密碼條件。

有些企業還會要求用戶每幾個月就輪換一次密碼，這樣會給員工帶來困擾，而且頻繁更換密碼導緻用戶為了方便記憶而隻設置相似密碼。

但無論企業的安全規範具體如何，使用安全度高的密碼在防止密碼洩露方面還是很重要的，所以還是建議密碼越長越好。（後文也将會講述如何避免頻繁更換密碼帶來的不滿。）

2. 保護密碼存儲

确定了合适的密碼策略後，IT 部門還必須在服務器上實施控制工具以管理密碼存儲。這裡強烈建議使用哈希加密算法保護存儲的密碼，再使用加鹽哈希算法進一步增加數據庫的破解難度。需要注意的是，密碼絕不能存儲在純文本環境中。另外在傳輸過程中，還必須通過 SSL 或 TLS 對密碼進行隧道傳輸。

3. 防範 LDAP 網絡釣魚和欺騙

LDAP 欺騙攻擊一般有兩種實現方法：第一種類似于釣魚URL鍊接，通過仿冒真實的URL誘導用戶輸入真實的AD域賬号和密碼；另外一種是誘導用戶安裝惡意的浏覽器插件，然後重定向到僞地址，同樣欺騙用戶以獲取到AD登錄信息。這樣黑客就能夠竊取到企業的敏感數據。

要避免這類LDAP欺騙攻擊必須采用強力的惡意軟件控制工具，同時針對用戶展開長期安全培訓。還有一種高效的方法是采用多因素認證（MFA），用戶隻需多花幾秒鐘輸入一次性動态口令（TOTP）作為輔助憑證，即便AD賬号或LDAP賬号信息洩露，黑客拿不到輔助憑證也無濟于事，這樣就可以阻止很多潛在的攻擊。
另外，LDAP 服務的MFA方案還有一個好處，即企業無需要求用戶定期改密，動态密碼是足夠安全的 LDAP 賬号保護手段，避免了定期改密的安全規範引起的員工不滿。 為了讓用戶習慣使用多因素認證，管理員可以設置動态口令延遲啟用期，在用戶被培訓、告知後再強制員工啟用多因素認證。同時還可以設置信任終端時長/數量盡量不幹擾用戶，不影響工作效率。

三、基于雲的 LDAP 目錄方案

前文提到的雲LDAP 服務的形态的出現，是雲計算趨勢的一個體現。基于雲的 LDAP 解決方案，使得企業以較少的前期投資和極少的IT人員投入，實現快速開通、啟用LDAP服務。且 LDAP 雲服務的預配置模式，實現了輕量化運維，還可以根據業務增長需要靈活擴展。

對于上一章節中提到的LDAP 用戶安全最佳實踐， LDAP 雲服務方案都能滿足。

NingDS 身份目錄雲就是一種 LDAP 雲服務，通過 LDAP 認證實現對應用程序、本地設備、VPN、NAS 等各類 IT 資源的統一安全管理，開箱即用，無需本地部署。所有數據在傳輸過程中都支持 SSL 加密，存儲在 NingDS 服務中的 LDAP 密碼也經過加密處理，有效保障憑證安全。

此外，NingDS 還内置了雲 MFA 能力，LDAP 服務和 MFA 服務天然集成，可以無門檻地、無縫地将 MFA 應用于 LDAP 認證場景。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!