LDAP (Lightweight Directory Access Protocol) est un protocole permettant d’interroger et modifier des annuaires.
Un annuaire LDAP contient :
- utilisateurs
- ordinateurs
- groupes
- services
- permissions
- politiques
C’est une base de données hiérarchique, optimisée pour la lecture, la recherche et la gestion d’identité.
Fonctionnement LDAP
LDAP utilise :
- un arbre hiérarchique (DIT : Directory Information Tree)
- des entrées (entries)
- des attributs
- des DN (Distinguished Names)
DN — Distinguished Name
C’est l’identifiant unique d’un objet.
Exemples :
cn=Jean Dupont,ou=Employes,dc=entreprise,dc=fr
OU — Organizational Unit
Les OU regroupent les objets :
- utilisateurs
- machines
- groupes
- services
Bind
Operation d’authentification LDAP.
Permet :
- authentification simple (mot de passe)
- authentification SASL
- liaison avec Kerberos (GSSAPI)
Schéma LDAP
Définit les types d’objets possibles et leurs attributs.
Objets courants :
- inetOrgPerson
- posixAccount
- groupOfNames
- organizationalUnit
LDAP en entreprise
LDAP est utilisé pour :
Centraliser les identités
Connecter les applications à un annuaire
Authentifier les utilisateurs (Linux, firewalls, applications)
Gérer des dizaines de milliers de comptes
LDAP dans Linux
Linux peut s’authentifier dans LDAP via :
- SSSD
- PAM
- NSSwitch
LDAP dans Windows
Active Directory utilise LDAP (plus Kerberos) pour stocker :
- comptes Windows
- groupes
- machines
- politiques
LDAP dans les pare-feux
pfSense / Fortinet / Palo Alto peuvent utiliser LDAP pour :
- VPN
- portails captifs
- règles d’accès
- filtrage utilisateurs
