Passa al contenuto principale

RFC 4513 - Lightweight Directory Access Protocol (LDAP): Metodi di autenticazione e meccanismi di sicurezza

  • Stato: Proposed Standard
  • Pubblicato: June 2006
  • Stream: IETF
  • Sostituisce: RFC2251, RFC2829, RFC2830
  • Errata: Nessun errata

Riassunto

Questo documento descrive i metodi di autenticazione e i meccanismi di sicurezza del Lightweight Directory Access Protocol (LDAP). Questo documento descrive in dettaglio la creazione della Transport Layer Security (TLS) utilizzando l'operazione StartTLS.

Questo documento descrive in dettaglio il metodo di autenticazione Simple Bind, inclusi i meccanismi anonimo, non autenticato e nome/password, e il metodo di autenticazione Simple Authentication and Security Layer (SASL) Bind, incluso il meccanismo EXTERNAL.

1. Introduzione

LDAP supporta la creazione della Transport Layer Security (TLS) [RFC4346] tramite l'operazione StartTLS, per fornire riservatezza dei dati e protezione dell'integrità.

LDAP supporta più metodi di autenticazione, eseguiti principalmente tramite l'operazione Bind. I metodi di autenticazione includono:

  • Autenticazione semplice: Basata su password in testo normale (o nessuna password).
  • Autenticazione SASL: Utilizza il framework SASL per supportare più meccanismi di autenticazione (come DIGEST-MD5, GSSAPI, EXTERNAL).

3. Operazione StartTLS

L'operazione StartTLS consente ai client e ai server LDAP di negoziare il livello TLS sulla connessione LDAP esistente.

3.1 Procedure di creazione TLS

  1. Il client invia una richiesta StartTLS.
  2. Il server invia una risposta StartTLS (successo o fallimento).
  3. In caso di successo, entrambe le parti iniziano immediatamente l'handshake TLS.
  4. Una volta completato l'handshake TLS, i successivi messaggi LDAP vengono trasmessi sotto la protezione TLS.

3.1.3 Controllo dell'identità del server

Il client DEVE verificare l'identità del server. Questo viene solitamente fatto controllando se il nome del soggetto (subjectName) o il nome alternativo del soggetto (subjectAltName) nel certificato del server corrisponde al nome host a cui il client sta tentando di connettersi.

4. Stato di autorizzazione

Una sessione LDAP ha uno stato di autorizzazione, che determina quali operazioni il client è autorizzato a eseguire.

  • Lo stato iniziale è solitamente anonimo.
  • Un'operazione Bind riuscita modifica lo stato di autorizzazione.
  • L'operazione StartTLS in sé non modifica lo stato di autorizzazione, ma può influenzare indirettamente il successivo Bind tramite il meccanismo SASL EXTERNAL.

5. Operazione Bind

L'operazione Bind viene utilizzata per stabilire lo stato di autenticazione tra il client e il server.

5.1 Metodo di autenticazione semplice (Simple Authentication Method)

Il metodo di autenticazione semplice ha tre meccanismi:

  1. Autenticazione anonima (Anonymous): Nome e password sono entrambi vuoti.
  2. Autenticazione non autenticata (Unauthenticated): Ha un nome, ma la password è vuota. Utilizzato per identificare l'utente senza autenticazione (solitamente per la registrazione).
  3. Autenticazione nome/password (Name/Password): Fornisce DN e password. Nota: A meno che non sia protetta da TLS o IPsec, la password viene trasmessa in testo normale, il che non è sicuro.

5.2 Metodo di autenticazione SASL (SASL Authentication Method)

SASL [RFC4422] fornisce un framework per supportare più meccanismi di autenticazione.

  • LDAP utilizza il nome del meccanismo SASL per identificare il metodo di autenticazione specifico.
  • Meccanismo EXTERNAL: Utilizza le credenziali di sicurezza fornite dai protocolli di livello inferiore (come TLS o IPsec) per l'autenticazione. Ad esempio, un certificato TLS client può essere mappato a un'identità di autorizzazione LDAP.

6. Considerazioni sulla sicurezza

  • Rischio di Simple Bind: Le password in testo normale sono vulnerabili alle intercettazioni. Simple Bind dovrebbe essere sempre utilizzato sotto la protezione TLS.
  • Versione TLS: Dovrebbe essere utilizzata la versione TLS più recente.
  • Attacco di replay: Alcuni meccanismi di autenticazione possono essere vulnerabili agli attacchi di replay.

Nota: Questa traduzione è fornita come riferimento. Consultare l'RFC 4513 originale per i dettagli ufficiali.

Ultimo aggiornamento il