LDAP e LDAPS: l’importanza della cifratura

Mar 04, 2024 Francesco Guiducci RSS, Security bITs 0

---

Il Lightweight Directory Access Protocol (LDAP) è un protocollo di accesso alle directory (attenzione ai servizi di directory come active directory e non alle directory di windows) che offre una struttura gerarchica per la gestione di informazioni all’interno di un sistema di directory.
Nato come un protocollo leggero rispetto al più complesso Directory Access Protocol (DAP), LDAP è diventato uno standard ampiamente utilizzato per la gestione e il recupero dei dati da database directory all’interno di reti aziendali.

Quali sono le funzionalità principali di LDAP?

Autenticazione e Autorizzazione: LDAP è spesso utilizzato per la gestione di credenziali e informazioni di autorizzazione. I server LDAP autenticano gli utenti e concedono loro l’accesso in base alle autorizzazioni definite.

Ricerca e Recupero di Informazioni: LDAP permette di effettuare ricerche efficienti all’interno della directory, consentendo di recuperare rapidamente le informazioni necessarie. Le ricerche possono essere basate su attributi specifici o su criteri più complessi.

Gestione di Risorse: LDAP è utilizzato per gestire una vasta gamma di risorse, tra cui utenti, gruppi, dispositivi di rete, servizi e altro ancora. Questo rende LDAP uno strumento fondamentale per la gestione di reti complesse e sistemi distribuiti.

Per implementare LDAP, è necessario un server LDAP che ospiti la directory. Alcuni dei server LDAP più noti includono OpenLDAP, Microsoft Active Directory, e Novell eDirectory.

LDAP utilizza il TCP/IP per la comunicazione e opera solitamente sulla porta 389. Tuttavia, può utilizzare anche il protocollo sicuro LDAPS (LDAP Secure) sulla porta 636, che crittografa la comunicazione per una maggiore sicurezza.

Gli strumenti client LDAP

Per interagire con un server LDAP, sono disponibili diversi strumenti client. Alcuni client sono specifici per determinati sistemi operativi, mentre altri sono multi-piattaforma. Strumenti comuni includono LDAP Browser e LDAP Admin.

Per quanto riguarda la sicurezza in LDAP, specialmente quando si gestiscono informazioni sensibili come credenziali utente, l’utilizzo di connessioni sicure tramite LDAPS, la corretta configurazione degli accessi e la gestione accurata delle autorizzazioni, contribuiscono a garantire un ambiente LDAP sicuro.

Ma come possiamo implementare LDAPS?

Beh in realtà è molto più semplice di quanto si possa credere. Prima di iniziare, assicurati di avere quanto segue:

Certificato SSL/TLS: Ottieni un certificato SSL/TLS da una Certificate Authority (CA) affidabile. Puoi ottenere un certificato dal tuo CA interno o da un fornitore di certificati pubblico.

Accesso agli Strumenti di Amministrazione: Assicurati di avere accesso agli strumenti di amministrazione di Active Directory e al server dove si trova il servizio Active Directory Certificate Services (AD CS), se presente.

Installa il Servizio Active Directory Certificate Services (AD CS). Se non hai ancora installato AD CS, segui questi passaggi:

1. Apri “Server Manager” su un server di dominio.
2. Seleziona “Aggiungi ruoli e funzionalità” e segui la procedura guidata per aggiungere il ruolo “Active Directory Certificate Services”.
3. Dopo l’installazione, apri il “Certification Authority” dalla console di gestione.
4. Richiedi un Certificato SSL per Active Directory
5. All’interno del “Certification Authority”, seleziona “Richiesta nuova certificato” e scegli “Certificato computer”.
6. Completa la procedura guidata inserendo i dettagli richiesti e assicurati di selezionare “Web Server” come tipo di certificato.
7. Dopo aver ricevuto il certificato, installalo nella tua macchina.

Configura il Servizio LDAP su Active Directory

1. Apri “Active Directory Users and Computers” e seleziona “Visualizza” -> “Mostra valori avanzati”.
2. Fai clic con il tasto destro sulla directory radice e seleziona “Proprietà”.
3. Nella scheda “Attributi”, cerca l’attributo “ldapServiceName” e imposta il suo valore su “ldap”.

Abilita LDAPS su Active Directory

1. Apri il “Registro di sistema” e naviga fino a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
2. Crea un nuovo valore DWORD chiamato “LDAPServerIntegrity” e imposta il suo valore su 2.
3. Configura il Servizio LDAP su Active Directory per l’Uso del Certificato
4. Apri “Active Directory Sites and Services”.
5. Espandi il nodo del sito, quindi “Servizi” -> “LDAP” -> “Certificati”.
6. Assegna il certificato SSL/TLS che hai ottenuto.
7. Riavvia il Servizio Active Directory Domain Services (AD DS)
8. Dopo aver apportato queste modifiche, riavvia il servizio AD DS per applicare le configurazioni.

Verifica l’Implementazione di LDAPS

• Utilizza uno strumento di test LDAP o LDAPS per verificare la connessione al server LDAP sulla porta 636. Assicurati inoltre di utilizzare il corretto nome del server e il certificato SSL/TLS durante la connessione.
  Potete usare powershell oppure ldp.exe installabile nei tool per windows (da pannello di controllo)

Potrebbe sembrare complesso ma in realtà si tratta perlopiù di installare un certificato e configurare la porta 636 abilitando l’uso di LDAPS da policy di dominio.

Articolo a cura di Francesco Guiducci | LinkedIn | YouTube

---

• crittografia, LDAP, ldaps

---

---