Blog

Kako ojačati legacy LDAP autentifikaciju web korisnika

Moderna autentikacija web korisnika sve više ide u smjeru federiranih identiteta kroz tzv. claims based autentifikaciju (standardi kao SAML, Oauth2, itd.), možda potaknuto najviše pojavom mobilnih i BYOD klijenata te raspršenih SaaS i web aplikacija isporučenih u browseru kroz HTTPS. Na neki način, to je prirodni nastavak Kerberos autentifikacije kakva se još koristi unutar LAN mreža i za kontrolu pristupa internim web aplikacijama. Naravno, Kerberos je još uvijek validna i nužna opcija u organizacijskim mrežama, a može se prilagoditi i mobilnim internet klijentima dopunom sa nekom drugom metodom provjere identiteta (npr. certifikati, OTP, itd.), koristeći Kerberos Constrained Delegation (KCD).

Ipak, u nekim legacy okruženjima, korisnici neće imati druge opcije nego ići na provjeru identiteta putem dobrog starog LDAP servera, bilo preko Active Directory LDAP servera ili neke druge LDAP implementacije (OpenLDAP i sl.).

Dobro je znati da se Symantec secure web gateway tehnologije (cloud SaaS ili on premise) mogu prilagoditi svim gore navedenim scenarijima, od modernih federiranih identiteta sve do legacy scenarija, bilo da se radi o autentifikaciji kod pristupa web servisu (serveru) ili kod pristupa internetu mobilnih i LAN klijenata.

U nastavku smo se poigrali sa LDAP opcijama na ProxySG secure web gateway rješenju u scenariju pristupa korisnika internetu: pretpostavka je da postoji npr. Active Directory LDAP servis na koji provjeravamo identitete. U takvom slučaju međutim postoje 2 neosigurana toka odnosno kredencijali koji se mogu pojaviti na mreži u clear-textu:

  1. Klijent -> ProxySG, gdje se autentifikacija vrši kroz HTTP BASIC mehanizam (username i password pop-up u browseru)
  2. ProxySG -> LDAP server komunikacija, gdje se često koristi privilegirani korisnik koji radi upite prema LDAP servisu kako bi pronašao korisničko ime i potvrdio kredencijale.

Logična ideja je osigurati ova 2 toka korištenjem TLS-a, pa evo par ideja kako to riješiti – klikni ovdje za detalje.

Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?

Kontaktirajte nas!