Si vous êtes un débutant dans votre apprentissage de l'Active Directory (AD), vous avez dû tomber sur le terme LDAP. Il est tout à fait possible que vous vous sentiez un peu perdu en essayant de comprendre ce concept. L'objectif de ce blog est de vous mettre à l'aise avec le LDAP et de vous rendre plus confiant dans votre apprentissage AD.
Pour commencer, abordons le sujet de front ! Qu'est-ce que le LDAP ?
Le LDAP est un protocole logiciel standard qui permet aux utilisateurs de trouver des informations sur d'autres utilisateurs et leurs attributs, ressources, applications et autres détails d'annuaire. C'est le principal protocole qui rend le fonctionnement AD possible.
Les rôles que le LDAP joue sont les suivants :
- Il aide à authentifier et à autoriser les utilisateurs afin qu'ils puissent accéder aux données, aux ressources réseau et les modifier.
- Il fournit un langage de communication permettant aux clients d'interagir avec les serveurs et de demander les informations requises au service d'annuaire.
Le LDAP utilise des opérations de liaison pour autoriser les clients à accéder au serveur LDAP une fois qu'ils ont été vérifiés avec succès. L'opération bind comprend la demande bind et la réponse bind.
La demande de liaison LDAP est constituée des trois paramètres suivants :
- La version LDAP : Ce paramètre indique la version LDAP que le client veut utiliser. La version LDAP 3 est populaire parmi les clients, mais certains anciens clients peuvent encore demander la version LDAP 2.
- Le Distinguished Name (DN) : Un DN identifie de manière unique un objet dans l'annuaire. Ce champ peut avoir une valeur de 0 dans le cas d'une authentification anonyme.
- La méthode d'authentification : Le client peut utiliser l'une des méthodes d'authentification suivantes : authentification anonyme, authentification simple ou SASL (Simple Authentication and Security Layer).
Pour mieux comprendre, prenons un exemple. Jennifer veut accéder à un scanner situé au cinquième étage de son bureau pour effectuer un travail officiel. Le LDAP lui permet de rechercher et de localiser les scanners au cinquième étage, puis l'authentifie et l'autorise à accéder au scanner et à s'y connecter en toute sécurité.
Les étapes suivantes détaillent comment le LDAP exécute ce processus d'authentification et d'autorisation :
- Jennifer (l'utilisateur, alias le client ou agent utilisateur d'annuaire (DUA)) se connecte au serveur LDAP (alias l'agent système d'annuaire (DSA)).
- Jennifer utilise ensuite le LDAP pour envoyer une requête de recherche au serveur, demandant le scanner spécifique du cinquième étage.
- La base de données LDAP authentifie Jennifer.
- Le LDAP effectue une recherche dans l'annuaire et renvoie à Jennifer l'adresse du scanner demandé.
- Jennifer reçoit la réponse demandée et se déconnecte du serveur LDAP.
Dans le processus décrit ci-dessus, le serveur LDAP peut utiliser l'une des trois méthodes suivantes pour authentifier Jennifer. Il s'agit de :
- L'authentification anonyme : Dans cette méthode, le client se connecte au serveur en envoyant une requête bind où la valeur du nom utilisateur est 0 et la valeur du mot de passe a une longueur de 0. L'étendue des informations disponibles pour le client est généralement minimale avec cette méthode.
- L'authentification simple : Dans cette méthode, le client saisit son nom d'utilisateur et son mot de passe pour se lier avec le serveur LDAP. Le serveur vérifie et authentifie ensuite les informations d'identification par rapport aux données de base stockées dans la base de données LDAP.
- L'authentification SASL : Dans cette méthode, le serveur LDAP utilise un mécanisme d'authentification comme Kerberos dans l'AD pour effectuer le processus d'authentification.
Le LDAP est compatible avec la plupart des services d'annuaire, comme OpenLDAP, et c'est l'un des principaux protocoles utilisés dans Microsoft AD.
Supposons maintenant que l'entreprise de Jennifer compte plus de 5 000 employés. La gestion et le stockage des informations sur tous ces utilisateurs (avec leurs attributs) et les ressources qu'ils utilisent nécessitent une énorme quantité de données. Pour extraire les informations de cette montagne de données, nous avons besoin du LDAP.
Ainsi, le LDAP est un langage permettant aux clients de communiquer avec l'AD de manière sécurisée et d'extraire les informations souhaitées de la base de données AD après authentification et autorisation.
J'espère que ce blog vous a permis d'avoir une compréhension plus claire et plus précise du LDAP et de sa relation avec l'AD. Pour en savoir plus sur ces concepts, restez connectés !