Blog

Kako okrepiti preverjanje pristnosti legacy LDAP spletnih uporabnikov

Sodobno preverjanje pristnosti spletnih uporabnikov se premika vse bolj v smeri zunanjih (angl. federated) identitet prek t. i. claims based preverjanja pristnosti (standardi, kot so SAML, Oauth2 itd.). Morda je k temu najbolj prispeval pojav mobilnih in BYOD-odjemalcev ter razpršenih SaaS in spletnih aplikacij, dostavljenih v brskalniku prek HTTPS. Na nek način je to naravno nadaljevanje preverjanja pristnosti Kerberos, kakršno se še uporablja v omrežjih LAN in za kontrolo dostopa do internih spletnih aplikacij.

Seveda je Kerberos še vedno veljavna in nujna možnost v organizacijskih omrežjih, prilagodi pa se lahko tudi mobilnim spletnim odjemalcem z dodajanjem druge metode za preverjanje identitete (npr. certifikati, OTP itd.) z uporabo možnosti Kerberos Constrained Delegation (KCD).

Kljub temu v nekaterih legacy okoljih uporabniki ne bodo imeli druge možnosti kot preveriti identiteto prek dobrega starega strežnika LDAP bodisi prek strežnika Active Directory LDAP bodisi druge implementacije LDAP (Open LDAP ipd.).

Dobro je vedeti, da se lahko tehnologije Symantec secure web gateway (cloud SaaS ali on premise) prilagodijo vsem zgoraj navedenim scenarijem, od sodobnih zunanjih identitet pa vse do legacy scenarijev, naj gre za preverjanje pristnosti pri dostopu do spletnih storitev (strežnika) ali za dostop do interneta mobilnih ali LAN-odjemalcev.

V nadaljevanju smo se poigrali z možnostmi LDAP na rešitvi ProxySG secure web gateway v scenariju dostopa uporabnikov do interneta: predpostavka je bila, da obstaja npr. storitev Active Directory LDAP, na kateri preverjamo identitete. V takšnem primeru sicer obstaja dva nezavarovana toka oziroma poverilnice, ki se lahko pojavijo v omrežju v clear-textu:

  1. Odjemalec ->ProxySG, kjer se preverjanje pristnosti izvaja prek mehanizma HTTP BASIC (username in password pop-up v brskalniku).
  2. Komunikacija ProxySG -> LDAP-strežnik, kjer se pogosto uporablja privilegirani uporabnik, ki želi z zahtevami, ki jih posreduje LDAP-storitvi, najti uporabniško ime in potrditi poverilnice.

Logična ideja je zavarovati ta dva toka z uporabo TLS-ja, zato sledi nekaj predlogov, kako to izvesti – za podrobnosti kliknite tukaj.

Share on LinkedInShare on FacebookTweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!