怎麼保護 LDAP 目錄服務中的使用者安全？

​輕量級目錄通路協定（LDAP）是目前主流的身份驗證協定之一，由密歇根大學的 Tim Howes、Steve Kille 和 Wengyik Yeong 于1993年建立，又經過了 Internet 工程任務組（IETF）的标準化，通過網絡分發目錄資訊，扮演了身份源（IdP）的角色。

LDAP 在現代網絡中的重要性在于該協定參與共享企業中有關使用者、裝置、網絡和應用程式的全部資訊，并且負責把控對 IT 資源的通路授權。現在我們來深入了解下保障 LDAP 目錄服務使用者安全的最佳實踐。

LDAP 的實施

當員工需要通路 LDAP 資料庫或使用需要經過 LDAP 認證的 IT 資源時，通常會輸入使用者名密碼然後等待目錄伺服器授權。伺服器收到使用者的登入資訊後會和存儲在 LDAP 資料庫中的身份憑證進行比對，比對一緻後即可授予通路權限。 

目前最常用的一種傳統商業化 LDAP 實施（又稱目錄服務）是微軟的 Active Directory （AD）。很多企業都采用 AD 來管理使用者資訊、驗證使用者通路，而 AD 的首選驗證協定是 Kerberos。除此之外，還有很多支援 LDAP 協定的目錄服務，包括開源的 Red Hat Directory Service、OpenLDAP、Apache Directory Server 、NDS（Nington Directory Service，甯盾目錄服務）等等。

目前還出現了一種新的 LDAP 服務形态，即雲 LDAP（Directory as a Service，DaaS）。

LDAP 中的使用者安全

存儲在 AD、OpenLDAP  等目錄服務中的憑證就是進入企業資料庫的鑰匙，這已經是公開的秘密，是以目錄服務的資料安全不言而喻。一旦黑客破解了其中一個使用者賬号，企業就需要和時間賽跑，阻止黑客通路關鍵資料。為了避免其利用 LDAP 中的憑證擷取通路權限，就需要未雨綢缪，首先加強 LDAP 目錄服務的賬号安全。以下是保護 LDAP 使用者安全的最佳實踐：

 1. 設定密碼政策

正确的密碼政策是保護 LDAP 安全的第一步。由于 LDAP 是一種身份認證系統，是以必須完善配置，要求管理者在内的所有使用者都提供強密碼。

  一個安全的 LDAP 服務應該要求使用者設定複雜難破解的密碼，也就是包含盡可能多字元的長密碼。大多數 LDAP 服務都可以設定系統内使用的密碼條件。

有些企業還會要求使用者每幾個月就輪換一次密碼，這樣會給員工帶來困擾，而且頻繁更換密碼導緻使用者為了友善記憶而隻設定相似密碼。

但無論企業的安全規範具體如何，使用安全度高的密碼在防止密碼洩露方面還是很重要的，是以還是建議密碼越長越好。（後文也将會講述如何避免頻繁更換密碼帶來的不滿。）

2. 保護密碼存儲

确定了合适的密碼政策後，IT 部門還必須在伺服器上實施控制工具以管理密碼存儲。這裡強烈建議使用哈希加密算法保護存儲的密碼，再使用加鹽雜湊演算法進一步增加資料庫的破解難度。需要注意的是，密碼絕不能存儲在純文字環境中。另外在傳輸過程中，還必須通過 SSL 或 TLS 對密碼進行隧道傳輸。

3. 防範 LDAP 網絡釣魚和欺騙

LDAP 欺騙攻擊一般有兩種實作方法：第一種類似于釣魚URL連結，通過仿冒真實的URL誘導使用者輸入真實的AD域賬号和密碼；另外一種是誘導使用者安裝惡意的浏覽器插件，然後重定向到僞位址，同樣欺騙使用者以擷取到AD登入資訊。這樣黑客就能夠竊取到企業的敏感資料。

要避免這類LDAP欺騙攻擊必須采用強力的惡意軟體控制工具，同時針對使用者展開長期安全教育訓練。還有一種高效的方法是采用多因素認證（MFA），使用者隻需多花幾秒鐘輸入一次性動态密碼（TOTP）作為輔助憑證，即便AD賬号或LDAP賬号資訊洩露，黑客拿不到輔助憑證也無濟于事，這樣就可以阻止很多潛在的攻擊。

另外，LDAP 服務的MFA方案還有一個好處，即企業無需要求使用者定期改密，動态密碼是足夠安全的 LDAP 賬号保護手段，避免了定期改密的安全規範引起的員工不滿。

為了讓使用者習慣使用多因素認證，管理者可以設定動态密碼延遲啟用期，在使用者被教育訓練、告知後再強制員工啟用多因素認證。同時還可以設定信任終端時長/數量盡量不幹擾使用者，不影響工作效率。

基于雲的 LDAP 目錄方案

前文提到的雲LDAP 服務的形态的出現，是雲計算趨勢的一個展現。基于雲的 LDAP 解決方案，使得企業以較少的前期投資和極少的IT人員投入，實作快速開通、啟用LDAP服務。且 LDAP 雲服務的預配置模式，實作了輕量化運維，還可以根據業務增長需要靈活擴充。

對于上一章節中提到的LDAP 使用者安全最佳實踐， LDAP 雲服務方案都能滿足。

NingDS 身份目錄雲就是一種 LDAP 雲服務，通過 LDAP 認證實作對應用程式、本地裝置、VPN、NAS 等各類 IT 資源的統一安全管理，開箱即用，無需本地部署。所有資料在傳輸過程中都支援 SSL 加密，存儲在 NingDS 服務中的 LDAP 密碼也經過加密處理，有效保障憑證安全。