I GIỚI THIỆU LDAP ? - LDAP chữ viết tắt Lightweight Directory Access Protocol - giao thức đăng nhập trực tiếp Lightweight - giao thức ứng dụng truy cập cấu trúc thư mục, thiết kế giao thức Internet TCP/IP LDAP phát triển dựa chuẩn X500 Đây chuẩn cho dịch vụ thư mục (Directory Service - DS) chạy tảng OSI -LDAP coi lightweight LDAP sử dụng gói tin overhead thấp, xác định xác lớp TCP danh sách giao thức TCP/IP (các dịch vụ hướng kết nối) X500 heavyweight lớp giao thức ứng dụng, chứa nhiều header (các header layer tầng thấp hơn) X.500 thông qua mơ hình OSI – LDAP thơng qua TCP/IP -LDAP giao thức, không hỗ trợ xử lý sở liệu Mà cần nơi lưu trữ backend xử lý liệu Vì mà LDAP client kết nối tới LDAP server theo mơ hình sau: Mối quan hệ LDAP client, LDAP server nơi chứa liệu -LDAP giao thức truy cập theo mơ hình dạng (Directory Information Tree) LDAP giao thức truy cập dạng client/server Thư mục dạng LDAP Phương thức hoạt động LDAP LDAP hoạt động theo mơ hình client-server Một nhiều LDAP server chứa thông tin thư mục (Directory Information Tree – DIT) Client kết nối đến server gửi yêu cầu Server phản hồi trỏ tới LDAP server khác để client lấy thơng tin Trình tự có kết nối với LDAP: • Connect (kết nối với LDAP): client mở kết nối tới LDAP server • Bind (kiểu kết nối: nặc danh đăng nhập xác thực): client g ửi thơng tin xác thực • Search (tìm kiếm): client gửi u cầu tìm kiếm • Interpret search (xử lý tìm kiếm): server thực xử lý tìm kiếm • Result (kết quả): server trả lại kết cho client • Unbind: client gửi yêu cầu đóng kết nối tới server • Close connection (đóng kết nối): đóng kết nối từ server Các rủi ro an ninh sử dụng giao th ức LDAP: • • Truy cập trái phép liệu thơng qua hoạt động tìm nạp d ữ li ệu, Truy cập trái phép thông tin xác thực khách hàng có th ể s d ụng lại cách giám sát quyền truy cập người khác, • Truy cập trái phép liệu cách giám sát quy ền truy cập c • • • • người khác, Sửa đổi liệu trái phép, Sửa đổi cấu hình trái phép, Sử dụng trái phép mức tài nguyên (từ chối dịch vụ) Giả mạo thư mục: Lừa khách hàng tin thông tin đến từ th m ục thực tế khơng, cách sửa đổi liệu q trình chuyển hướng sai kết nối khách hàng Các mối đe dọa (1), (4), (5) (6) khách hàng thù địch Các mối đe dọa (2), (3) (7) tác nhân thù địch đường dẫn gi ữa máy khách máy chủ đóng giả làm máy chủ 4.Bảo vệ bảo mật LDAP - Giao thức LDAP bảo vệ cách : • Xác thực ứng dụng khách chế SASL, h ỗ tr ợ chế trao đổi thông tin đăng nhập TLS , • Ủy quyền khách hàng phương tiện kiểm soát truy c ập dựa danh tính xác thực người u cầu, • Bảo vệ tính tồn vẹn liệu giao thức TLS c chế SASL toàn vẹn liệu, • Bảo vệ chống lại việc rình mò giao thức TLS chế SASL mã hóa liệu, • Giới hạn tài ngun giới hạn hành đối v ới ều khiển dịch vụ • Xác thực máy chủ giao thức TLS chế SASL  Tài liệu tham khảo:  https://techtalk.vn/network-tim-hieu-ldap-cau-hinh-xac-thuc- ssh-voi-ldap.html ... danh tính xác thực người yêu cầu, • Bảo vệ tính tồn vẹn liệu giao thức TLS c chế SASL tồn vẹn liệu, • Bảo vệ chống lại việc rình mò giao thức TLS chế SASL mã hóa liệu, • Giới hạn tài ngun giới hạn... (7) tác nhân thù địch đường dẫn gi ữa máy khách máy chủ đóng giả làm máy chủ 4 .Bảo vệ bảo mật LDAP - Giao thức LDAP bảo vệ cách : • Xác thực ứng dụng khách chế SASL, h ỗ tr ợ chế trao đổi thơng... không hỗ trợ xử lý sở liệu Mà cần nơi lưu trữ backend xử lý liệu Vì mà LDAP client kết nối tới LDAP server theo mơ hình sau: Mối quan hệ LDAP client, LDAP server nơi chứa liệu -LDAP giao thức