Aller au contenu principal

RFC 4513 - Lightweight Directory Access Protocol (LDAP) : Méthodes d'authentification et mécanismes de sécurité

  • Statut: Proposed Standard
  • Publié: June 2006
  • Stream: IETF
  • Remplace: RFC2251, RFC2829, RFC2830
  • Errata: Pas d'errata

Résumé

Ce document décrit les méthodes d'authentification et les mécanismes de sécurité du protocole LDAP (Lightweight Directory Access Protocol). Ce document détaille l'établissement de la sécurité de la couche transport (TLS) à l'aide de l'opération StartTLS.

Ce document détaille la méthode d'authentification par liaison simple (Simple Bind), y compris les mécanismes anonymes, non authentifiés et nom/mot de passe, ainsi que la méthode d'authentification par liaison SASL (Simple Authentication and Security Layer), y compris le mécanisme EXTERNAL.

1. Introduction

LDAP prend en charge l'établissement de la sécurité de la couche transport (TLS) [RFC4346] via l'opération StartTLS, pour assurer la confidentialité des données et la protection de l'intégrité.

LDAP prend en charge plusieurs méthodes d'authentification, principalement effectuées via l'opération Bind. Les méthodes d'authentification incluent :

  • Authentification simple : Basée sur un mot de passe en texte clair (ou sans mot de passe).
  • Authentification SASL : Utilise le cadre SASL pour prendre en charge plusieurs mécanismes d'authentification (tels que DIGEST-MD5, GSSAPI, EXTERNAL).

3. Opération StartTLS

L'opération StartTLS permet aux clients et serveurs LDAP de négocier la couche TLS sur la connexion LDAP existante.

3.1 Procédures d'établissement TLS

  1. Le client envoie une requête StartTLS.
  2. Le serveur envoie une réponse StartTLS (succès ou échec).
  3. En cas de succès, les deux parties commencent immédiatement la poignée de main TLS.
  4. Une fois la poignée de main TLS terminée, les messages LDAP suivants sont transmis sous la protection de TLS.

3.1.3 Vérification de l'identité du serveur

Le client DOIT vérifier l'identité du serveur. Cela se fait généralement en vérifiant si le nom du sujet (subjectName) ou le nom alternatif du sujet (subjectAltName) dans le certificat du serveur correspond au nom d'hôte auquel le client tente de se connecter.

4. État d'autorisation

Une session LDAP a un état d'autorisation, qui détermine quelles opérations le client est autorisé à effectuer.

  • L'état initial est généralement anonyme.
  • Une opération Bind réussie modifie l'état d'autorisation.
  • L'opération StartTLS elle-même ne modifie pas l'état d'autorisation, mais peut influencer indirectement le Bind ultérieur via le mécanisme SASL EXTERNAL.

5. Opération Bind

L'opération Bind est utilisée pour établir l'état d'authentification entre le client et le serveur.

5.1 Méthode d'authentification simple (Simple Authentication Method)

La méthode d'authentification simple comporte trois mécanismes :

  1. Authentification anonyme (Anonymous) : Le nom et le mot de passe sont vides.
  2. Authentification non authentifiée (Unauthenticated) : A un nom, mais le mot de passe est vide. Utilisé pour identifier l'utilisateur sans authentification (généralement pour la journalisation).
  3. Authentification nom/mot de passe (Name/Password) : Fournit le DN et le mot de passe. Note : À moins d'être protégé par TLS ou IPsec, le mot de passe est transmis en clair, ce qui n'est pas sécurisé.

5.2 Méthode d'authentification SASL (SASL Authentication Method)

SASL [RFC4422] fournit un cadre pour prendre en charge plusieurs mécanismes d'authentification.

  • LDAP utilise le nom du mécanisme SASL pour identifier la méthode d'authentification spécifique.
  • Mécanisme EXTERNAL : Utilise les informations d'identification de sécurité fournies par les protocoles de couche inférieure (tels que TLS ou IPsec) pour l'authentification. Par exemple, un certificat TLS client peut être mappé à une identité d'autorisation LDAP.

6. Considérations de sécurité

  • Risque du Simple Bind : Les mots de passe en texte clair sont vulnérables à l'écoute clandestine. Simple Bind doit toujours être utilisé sous la protection de TLS.
  • Version TLS : La dernière version de TLS doit être utilisée.
  • Attaque par rejeu : Certains mécanismes d'authentification peuvent être vulnérables aux attaques par rejeu.

Note: Cette traduction est fournie à titre de référence. Veuillez consulter le RFC 4513 original pour les détails officiels.

Dernière mise à jour le