Zum Hauptinhalt springen

RFC 4513 - Lightweight Directory Access Protocol (LDAP): Authentifizierungsmethoden und Sicherheitsmechanismen

  • Status: Proposed Standard
  • Veröffentlicht: June 2006
  • Stream: IETF
  • Ersetzt: RFC2251, RFC2829, RFC2830
  • Errata: Keine Errata

Zusammenfassung

Dieses Dokument beschreibt die Authentifizierungsmethoden und Sicherheitsmechanismen des Lightweight Directory Access Protocol (LDAP). Dieses Dokument beschreibt detailliert die Einrichtung von Transport Layer Security (TLS) unter Verwendung der StartTLS-Operation.

Dieses Dokument beschreibt detailliert die einfache Bind-Authentifizierungsmethode (Simple Bind), einschließlich anonymer, nicht authentifizierter und Name/Passwort-Mechanismen, sowie die SASL-Bind-Authentifizierungsmethode (Simple Authentication and Security Layer), einschließlich des EXTERNAL-Mechanismus.

1. Einleitung

LDAP unterstützt die Einrichtung von Transport Layer Security (TLS) [RFC4346] über die StartTLS-Operation, um Datenvertraulichkeit und Integritätsschutz zu gewährleisten.

LDAP unterstützt mehrere Authentifizierungsmethoden, die hauptsächlich über die Bind-Operation durchgeführt werden. Authentifizierungsmethoden umfassen:

  • Einfache Authentifizierung: Basierend auf Klartext-Passwort (oder keinem Passwort).
  • SASL-Authentifizierung: Verwendet das SASL-Framework, um mehrere Authentifizierungsmechanismen zu unterstützen (wie DIGEST-MD5, GSSAPI, EXTERNAL).

3. StartTLS-Operation

Die StartTLS-Operation ermöglicht es LDAP-Clients und -Servern, die TLS-Schicht über die bestehende LDAP-Verbindung auszuhandeln.

3.1 TLS-Einrichtungsverfahren

  1. Der Client sendet eine StartTLS-Anforderung.
  2. Der Server sendet eine StartTLS-Antwort (Erfolg oder Misserfolg).
  3. Im Erfolgsfall beginnen beide Parteien sofort mit dem TLS-Handshake.
  4. Sobald der TLS-Handshake abgeschlossen ist, werden nachfolgende LDAP-Nachrichten unter TLS-Schutz übertragen.

3.1.3 Überprüfung der Serveridentität

Der Client MUSS die Identität des Servers überprüfen. Dies geschieht normalerweise durch Überprüfung, ob der Subject Name (subjectName) oder Subject Alternative Name (subjectAltName) im Serverzertifikat mit dem Hostnamen übereinstimmt, mit dem der Client eine Verbindung herstellen möchte.

4. Autorisierungsstatus

Eine LDAP-Sitzung hat einen Autorisierungsstatus, der bestimmt, welche Operationen der Client ausführen darf.

  • Der anfängliche Status ist normalerweise anonym.
  • Eine erfolgreiche Bind-Operation ändert den Autorisierungsstatus.
  • Die StartTLS-Operation selbst ändert den Autorisierungsstatus nicht, kann aber über den SASL EXTERNAL-Mechanismus indirekt den nachfolgenden Bind beeinflussen.

5. Bind-Operation

Die Bind-Operation wird verwendet, um den Authentifizierungsstatus zwischen Client und Server herzustellen.

5.1 Einfache Authentifizierungsmethode (Simple Authentication Method)

Die einfache Authentifizierungsmethode hat drei Mechanismen:

  1. Anonyme Authentifizierung (Anonymous): Name und Passwort sind beide leer.
  2. Nicht authentifizierte Authentifizierung (Unauthenticated): Hat einen Namen, aber das Passwort ist leer. Wird verwendet, um den Benutzer ohne Authentifizierung zu identifizieren (normalerweise für die Protokollierung).
  3. Name/Passwort-Authentifizierung (Name/Password): Stellt DN und Passwort bereit. Hinweis: Sofern nicht durch TLS oder IPsec geschützt, wird das Passwort im Klartext übertragen, was nicht sicher ist.

5.2 SASL-Authentifizierungsmethode (SASL Authentication Method)

SASL [RFC4422] bietet ein Framework zur Unterstützung mehrerer Authentifizierungsmechanismen.

  • LDAP verwendet den SASL-Mechanismusnamen, um die spezifische Authentifizierungsmethode zu identifizieren.
  • EXTERNAL-Mechanismus: Verwendet Sicherheitsanmeldeinformationen, die von Protokollen der unteren Schicht (wie TLS oder IPsec) für die Authentifizierung bereitgestellt werden. Beispielsweise kann ein Client-TLS-Zertifikat einer LDAP-Autorisierungsidentität zugeordnet werden.

6. Sicherheitsüberlegungen

  • Risiko von Simple Bind: Klartext-Passwörter sind anfällig für Abhören. Simple Bind sollte immer unter TLS-Schutz verwendet werden.
  • TLS-Version: Es sollte die neueste TLS-Version verwendet werden.
  • Replay-Angriff: Einige Authentifizierungsmechanismen können anfällig für Replay-Angriffe sein.

Hinweis: Diese Übersetzung dient nur als Referenz. Bitte konsultieren Sie das Original-RFC 4513 für offizielle Details.

Letztes Update am