Blog

Kako ojačati legacy LDAP autentifikaciju web korisnika

Moderna autentikacija web korisnika sve više ide u smeru federiranih identiteta kroz tzv. claims based autentifikaciju (standardi kao SAML, Oauth2, itd.), možda podstaknuto najviše pojavom mobilnih i BYOD klijenata, te raspršenih SaaS i web aplikacija isporučenih u browseru kroz HTTPS. Na neki način, to je prirodni nastavak Kerberos autentifikacije kakva se još koristi unutar LAN mreža i za kontrolu pristupa internim web aplikacijama.

Naravno, Kerberos je još uvek validna i nužna opcija u organizacijskim mrežama, a može se prilagoditi i mobilnim internet klijentima dopunom nekom drugom metodom provere identiteta (npr. certifikati, OTP, itd.), koristeći Kerberos Constrained Delegation (KCD).

Ipak, u nekim legacy okruženjima, korisnici neće imati druge opcije nego da idu na proveru identiteta putem dobrog starog LDAP servera, bilo preko Active Directory LDAP servera ili neke druge LDAP implementacije (OpenLDAP i sl.).

Dobro je znati da se Symantec secure web gateway tehnologije (cloud SaaS ili on premise) mogu prilagoditi svim gore navedenim scenarijima, od modernih federiranih identiteta sve do legacy scenarija, bilo da se radi o autentifikaciji kod pristupa web servisu (serveru) ili kod pristupa internetu mobilnih i LAN klijenata.

U nastavku smo se poigrali LDAP opcijama na ProxySG secure web gateway rešenju u scenariju pristupa korisnika internetu: pretpostavka je da postoji npr. Active Directory LDAP servis na koji proveravamo identitete. Međutim, u takvom slučaju postoje 2 neosigurana toka, odnosno kredencijali koji se mogu pojaviti na mreži u clear-textu:

  1. Klijent -> ProxySG, gde se autentifikacija vrši kroz HTTP BASIC mehanizam (username i password pop-up u browseru)
  2. ProxySG -> LDAP server komunikacija, gde se često koristi privilegovani  korisnik koji radi upite prema LDAP servisu, kako bi pronašao korisničko ime i potvrdio kredencijale.

Logična ideja je da se osiguraju ova 2 toka korišćenjem TLS-a, pa evo par ideja kako to rešiti – klikni ovde za detalje.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?
Kontaktirajte nas!