Si vous débutez dans le domaine de l’Active Directory (AD), vous avez sûrement déjà croisé le terme LDAP. Il est probable que vous vous sentiez un peu perdu en cherchant à comprendre ce dernier. L’objectif de cet article de blog est de vous familiariser avec le concept et de renforcer votre confiance envers votre formation en AD. Commençons d’abord par examiner la définition du protocole LDAP !
Qu’est-ce qu’un protocole LDAP ?
LDAP est un protocole de logiciel standard qui permet aux utilisateurs de trouver des informations sur d’autres utilisateurs et leurs attributs, ressources, applications et autres détails du répertoire. Il est également le principal protocole qui assure le bon fonctionnement d’AD.
Les fonctions de LDAP
Les fonctions du protocole LDAP sont les suivantes :
- Il facilite l’authentification et l’autorisation des utilisateurs afin qu’ils puissent accéder et modifier les données et les ressources du réseau.
- Il offre un langage de communication aux clients leur permettant d’interagir avec les serveurs et de solliciter des informations auprès du service du répertoire.
LDAP recourt aux opérations de liaision pour autoriser l’accès des clients au serveur LDAP après vérification de leur identité. Cette étape se compose de la demande de liaison (bind request) et d’une réponse (bind response).
Les paramètres du protocole LDAP
La demande de liaison LDAP est constituée des trois paramètres suivants :
- La version LDAP : Ce paramètre indique la version LDAP que le client veut utiliser. La version 3 de LDAP est la plus populaire auprès des clients, mais il arrive que certains anciens clients désirent tout de même la version 2 de LDAP.
- Le nom distinctif (DN) : Un DN identifie de manière distincte un objet dans le répertoire. Dans le cas où l’authentification est faite de manière anonyme, ce champ peut avoir une valeur de 0.
- La méthode d’authentification : Le client peut utiliser l’une des méthodes d’authentification suivantes : authentification anonyme, authentification simple ou SASL.
Pour mieux comprendre, supposons que Jennifer souhaite accéder à un scanner au cinquième étage de son bureau pour accomplir un travail administratif. LDAP lui permet de chercher et localiser les scanners au cinquième étage, tout en lui permettant de s’authentifier et de se connecter en toute sécurité au scanner.
Les étapes d’authentification et d’autorisation
Les étapes suivantes expliquent comment le système LDAP exécute ce processus d’authentification et d’autorisation :
- Jennifer (le client ou l’utilisateur du répertoire (DUA)) se connecte au serveur LDAP (l’agent système du répertoire (DSA)).
- Jennifer envoie ensuite une requête de recherche au serveur à l’aide de LDAP, pour demander le scanner du cinquième étage.
- La base de données LDAP authentifie Jennifer.
- LDAP effectue une recherche dans le répertoire et renvoie à Jennifer l’emplacement du scanner demandé.
- Jennifer reçoit la réponse demandée et se déconnecte du serveur LDAP.
Au cours du processus décrit ci-dessus, le serveur LDAP peut utiliser l’une des trois méthodes suivantes pour authentifier Jennifer. Il s’agit de :
- Authentification anonyme : Cette méthode permet au client de se connecter au serveur en envoyant une demande de liaison dont le nom d’utilisateur est égal à 0 et le mot de passe à une longueur de 0. Avec cette méthode, le volume d’informations dont dispose le client est généralement minime.
- Authentification simple : Avec cette méthode, le client saisit son nom d’utilisateur et son mot de passe pour se connecter au serveur LDAP. Le serveur vérifie et authentifie ensuite les informations d’identification en fonction des données stockées dans la base de données LDAP.
- Authentification SASL : Cette méthode permet au serveur LDAP d’utiliser un mécanisme d’authentification comme Kerberos dans l’AD pour exécuter le processus d’authentification.
LDAP est compatible avec la majorité des services du répertoire, comme OpenLDAP, et c’est l’un des principaux protocoles utilisés dans Microsoft AD.
Admettons maintenant que l’organisation de Jennifer compte plus de 5 000 employés. La gestion et le stockage d’informations relatives à tous ces utilisateurs (avec leurs attributs) et les ressources utilisées par ceux-ci nécessitent une énorme quantité de données. Afin d’extraire ces informations, il nous faut un système LDAP.
Par conséquent, LDAP représente un langage permettant aux clients de communiquer avec l’AD de manière sécurisée et de tirer les informations souhaitées de la base de données AD après authentification et autorisation.
L’objectif de cet article est de donner une vision plus claire et plus précise du système LDAP et de sa relation avec l’AD. Pour approfondir vos connaissances sur ces concepts, restez à l’écoute !
Source : Lightweight Directory Access Protocol (LDAP) decoded for beginners
