O que é a autenticação lightweight directory access protocol (LDAP)?

O lightweight directory access protocol (LDAP) é um protocolo que ajuda os usuários a localizar dados sobre organizações, pessoas e muito mais. O LDAP tem dois objetivos centrais: armazenar dados no diretório LDAP e autenticar o acesso de usuários a ele. Ele também oferece a linguagem de comunicação que as aplicações exigem para enviar e receber informações de serviços de diretório. Um serviço de diretório oferece acesso à localização das informações sobre organizações, indivíduos e outros dados em uma rede.

O caso de uso mais comum do LDAP é a disponibilização de uma localização central para acesso e gerenciamento de serviços de diretório. Com o LDAP, as organizações podem armazenar, gerenciar e proteger informações sobre a organização, os usuários e recursos como nomes de usuário e senhas. Isso simplifica o acesso ao armazenamento com a estruturação hierárquica das informações e pode ser crítico para empresas em crescimento, com cada vez mais recursos e dados de usuários. 

O LDAP também funciona como solução de gerenciamento de identidade e acesso (IAM) com foco na autenticação de usuários, incluindo suporte para Kerberos e single sign-on (SSO), Simple Authentication Security Layer (SASL) e Secure Sockets Layer (SLL).

O LDAP é o principal protocolo utilizado, ainda que não seja o único, pelo Active Directory (AD) da Microsoft, um enorme banco de dados de serviço de diretório que contém informações sobre todas as contas de usuário de uma rede. Mais especificamente, o LDAP é uma versão lightweight do Directory Access Protocol (DAP) e oferece uma localização central para acessar e gerenciar serviços de diretório em execução no Protocolo TCP/IP. A versão mais recente é o LDAPv3. 

O AD oferece autenticação e gerenciamento de usuários e grupos, sendo o que autentica um usuário ou computador em última instância. O banco de dados contém mais atributos do que os inclusos no LDAP. No entanto, a especialidade do LDAP é localizar um objeto de diretório com poucas informações, sem precisar extrair todos os atributos do AD ou qualquer outro serviço de diretório.

O principal objetivo do LDAP é alcançar, armazenar e extrair objetos (por exemplo, domínios, usuários, grupos etc.) do AD em formato utilizável para o próprio diretório, localizado no servidor LDAP. 

Pense da seguinte maneira: o AD é a maior biblioteca do mundo e você está procurando um livro com "zumbis" no título. No mundo do LDAP, não faz diferença se o livro foi publicado nos Estados Unidos com mais de 1000 páginas ou se é apenas um guia de sobrevivência ao apocalipse zumbi. Mas, isso ajuda a filtrar as opções disponíveis. O LDAP é o bibliotecário especialista que sabe exatamente onde localizar todas as opções que atendem aos requisitos e é capaz de verificar se você encontrou o que estava procurando.

O que exige uma busca LDAP e como ela funciona?

O processo de autenticação do LDAP é um modelo de autenticação cliente-servidor e envolve estes três atores centrais: 

• Agente de sistema do diretório (DSA): um servidor executando o LDAP na rede
• Agente de usuário do diretório (DUA): acessar DSAs como cliente (por exemplo, o computador de um usuário)
• DN: o nome diferenciado com um caminho que passa pela árvore de informações do diretório (DIT) para navegação do LDAP (por exemplo, cn=Susan, ou=users, o=Company)
• Nome diferenciado relativo (RDN): cada componente no caminho do DN (ex. cn=Susan)
• Interface de programação de aplicações (API): com ela, sua solução ou serviço pode se comunicar com outras soluções e serviços sem precisar saber como eles foram implementados.

O processo começa quando um usuário tenta acessar um programa de cliente habilitado por LDAP no computador, como uma aplicação de email empresarial. Com o LDAPv3, os usuários passam por um dos dois métodos de autenticação de usuário disponíveis: autenticação simples, como SSO com credenciais de login, ou autenticação SASL, que vincula o servidor LDAP a um programa como o Kerberos. A tentativa de login envia uma solicitação para autenticar o DN atribuído ao usuário. O DN é enviado pela API ou serviço do cliente que inicia o DSA.

O cliente é automaticamente vinculado ao DSA, e o LDAP usa o DN para localizar o objeto ou grupo de objetos correspondente nos registros do banco de dados do LDAP. Os RDNs no DN são muito importantes neste estágio, uma vez que oferecem todos os passos na busca do LDAP pelo DIT para localizar o indivíduo. Se o caminho não tiver um RDN conectado no back-end, o resultado pode ser inválido. Nesse caso, o objeto que o LDAP está procurando é a conta de usuário individual (cn=Susan) e ele só pode validar o usuário se a conta no diretório tiver o uid e o userPassword correspondentes. Os grupos de usuários também são identificados como objetos no diretório LDAP.

Quando o usuário recebe uma resposta (válida ou não), o cliente é desvinculado do servidor LDAP. Então, usuários autenticados conseguem acessar a API e os serviços, incluindo arquivos, informações do usuário e outros dados necessários da aplicação. Tudo isso baseado nas permissões concedidas pelo administrador do sistema. 

Como o LDAP tem uma estrutura lightweight e usa o DIT, ele consegue realizar buscas rápidas e retornar resultados bem-sucedidos. Entender o DIT é essencial para uma boa navegação pelo servidor LDAP e para saber como as buscas funcionam.

O DIT viabiliza uma navegação rápida pelos diferentes níveis do diretório LDAP para filtrar os resultados da busca e retornar uma resposta para a consulta. O DIT começa no diretório raiz e passa pelos países, que se dividem em duas subclasses: componente do diretório (dc) e o nome da organização (o).

Componente de acesso ao domínio  (dc)

O dc (por exemplo. dc=com, dc=example) usa o mapeamento do sistema de nomes de domínio (DNS) para localizar e converter nomes de domínio da internet em endereços IP. 

A maioria dos usuários não conhece o nome do domínio e/ou o endereço IP do indivíduo que estão buscando. Nesse caso, o LDAP usa o nome diferenciado (DN) atribuído ao usuário como um caminho para navegar rapidamente pelo DIT e localizar o resultado da busca. É aqui que entra a subclasse o. 

Nome da organização (o)

A subclasse o (por exemplo, o-Company) é uma das subclasses mais gerais listadas no DN e é normalmente por onde o LDAP começa a realizar a busca. Por exemplo, em geral um caminho simples começa com a subclasse o e ramifica para a unidade organizacional (ou), seguida por uma conta ou grupo de usuário. 

Unidade organizacional (ou)

Como mencionado, ou é uma subclasse de o e normalmente é vista como ou=users ou ou=group, cada uma contendo uma lista de contas ou grupos de usuário. O diretório vai ficar assim:

• o-Company

  • ou=groups

    • cn=developers

  • ou=users

    • cn=Susan 

Nome comum (cn)

Um nome comum, ou cn, é usado para identificar o nome de uma conta de usuário individual ou de grupo (por exemplo, cn=developers, cn=Susan). Um usuário pode pertencer a um grupo, então, caso Susan seja uma desenvolvedora, ela poderia aparecer em cn=developers. 

Atributos e valores

Para filtrar a busca, todas as subclasses no DIT do LDAP (por exemplo, o, ou, cn) contêm atributos e valores ou esquemas com informações sobre a estrutura do diretório. Os atributos são parecidos com as entradas de um catálogo de endereços, com rótulos como nome, telefone e endereço com valores atribuídos a cada atributo. Por exemplo, Susan seria o valor do atributo nome.

Na conta cn=Susan, o id de usuário (uid) e o userPassword são atributos e as credenciais de login do usuário são os valores. No entanto, em um grupo como cn=developers, Susan seria o atributo uniqueMember (por exemplo, uniqueMember=cn-Susan,ou-Users,o-Company). Isso mapeia o caminho para a localização da conta de usuário individual de Susan, junto às informações que o LDAP está buscando. A linha do DIT termina com uma conta de usuário, e é desse local que o LDAP extrai os resultados da busca. 

Existem muitos outros tipos e sintaxes de atributos que podem ajudar a filtrar a busca, incluindo ObjectClasses, como organizationalPerson (estrutural) ou pessoal (estrutural). No entanto, o número de atributos no LDAP é limitado para que ele continue lightweight e fácil de usar.

Administradores de redes empresariais normalmente gerenciam milhares de usuários ao mesmo tempo. Isso significa que eles são responsáveis pela concessão de controles e políticas de acesso baseados em função e acesso do usuário a arquivos de tarefas rotineiras, como a intranet de uma empresa.

O LDAP simplifica o processo de gerenciamento de usuários, economiza tempo valioso dos administradores de rede e centraliza o processo de autenticação. Antes de integrar o LDAP ao seu ambiente, é importante considerar o seguinte:

• Capacidade: qual volume de dados sobre gerenciamento de usuários você precisa armazenar? Pense se os produtos que implementam soluções LDAP têm a capacidade de armazenar e gerenciar todos os dados necessários.

• Frequência de busca: existem dados que um usuário precisa acessar diariamente, como a intranet da empresa ou uma aplicação ou serviço de e-mail? Se sim, o LDAP é perfeito para você.

• Organização: o DIT simples no LDAP organiza os dados como necessário ou você precisa de um sistema mais detalhado?

Enquanto o LDAP é normalmente usado no AD, ele também pode ser usado para autenticar usuários para outras ferramentas e ambientes de clientes, incluindo o Red Hat Directory Servers no UNIX e o OpenLDAP, uma aplicação open source, no Windows. Você também pode usar os recursos de autenticação e gerenciamento de usuários do LDAP para gerenciamento de API, controle de acesso baseado em função (RBAC) ou outras aplicações e serviços como Docker e Kubernetes.

O Red Hat® Enterprise Linux® inclui recursos de gerenciamento de identidade centralizado, que possibilitam a autenticação de usuários e implementação de RBAC usando uma interface única e escalável que abrange todo o datacenter.

O gerenciamento de identidade com Red Hat Enterprise Linux tem vários recursos de autenticação e autorização, incluindo: 

• Controlador de domínio para Linux: centralize o gerenciamento de identidades, acessos e políticas para todos os usuários, serviços e hosts com esse armazenamento de identidade central e confiável. Isso reduz a sobrecarga administrativa e simplifica o registro de domínio para criar uma delimitação de segurança confiável. Os usuários ganham uma experiência de autenticação de usuários otimizada.

• Integração ao AD: preencha a lacuna de identidade de usuário entre Linux e Windows com a integração nativa do Red Hat Enterprise Linux ao Active Directory. Use o Active Directory como única fonte de verdade para identidades de usuário e aplique políticas de controle de acesso personalizadas diretamente ao domínio Linux para melhorar a eficiência administrativa e centralizar a criação de políticas.

• SSO do Kerberos: simplifique o processo de autenticação de usuários usando o Kerberos, o núcleo de autenticação do gerenciamento de identidades para suporte à infraestrutura do SSO. Estenda aos serviços para que eles se autentiquem sem senhas e deem suporte à autenticação web usando o SSO (baseado no Keycloak).

• Funções do sistema: economize tempo e recursos com o uso de fluxos de trabalho de configuração consistentes e reproduzíveis. A automação diminuirá substancialmente a sobrecarga técnica e as tarefas manuais associadas à implantação e administração de identidades com o tempo.

A Red Hat também oferece o Red Hat Directory Server como complemento para necessidades mais especializadas.

O Red Hat Directory Server é um diretório baseado em LDAP escalável para ambientes grandes e diversificados. Utilize substitutos econômicos para soluções LDAP terceirizadas caras e gerencie topologias de diretórios complexas e distribuídas com várias opções de replicação. Essa solução oferece flexibilidade com atributos e esquemas personalizáveis para os dados do seu diretório.