LDAPSを介してActive Directoryを外部に公開しても安全ですか?
現在、LDAPSを介してActive Directoryにアクセスし、認証とユーザーデータの取得を行っています。これをLDAP経由で公開することは一般的ですか、それとも安全ですか?
補遺1:
私たちのビジネスケースである、クラウドベースのリモートホストWebアプリケーションは、ローカルActive Directoryでエンドユーザーを認証する必要があります。
いくつかのクラウドベンダーは、ユーザーを認証するためにADへのLDAPアクセスを必要としています...私は頭の中で10と名付けることができます。そのため、限られた範囲では珍しいことではありません。
追加の制御(VPN、認証など)なしでLDAPをブロードインターネット(IPフィルターなし)に開放することは賢明ではないと思います
LDAPサーバーを追加の負荷にさらしているので、Exchangeのような他のADに依存するアプリケーション、またはワークステーション認証に影響があると考えます。この目的のために、別の論理サイトに別のADサーバーを立ち上げることを検討してください。 (Exchangeはサイト内のすべてのADサーバーにアクセスする傾向があります)
LDAPSサーバーにセキュリティホールがないことを前提としています、それをワイドインターネットに公開することは、HTTPS Webサーバーを公開することほど危険ではありません。 LDAPS(SSLの外部、従来はポート636、LDAPプロトコルが使用)では、サーバーから要求された認証はSSLの保護の下で実行されるため、問題ありません(通常どおり、認証パスワードが強力であれば)。
...それでも注意点が1つあります。 HTTPSセキュリティの大部分は、ブラウザ、つまりクライアントがサーバーの証明書が正しいことを確認することです。トラストアンカーのセットに関するすべての署名の検証。失効ステータスのチェック。目的のサーバー名が実際にサーバーの証明書の本来あるべき場所にあることの確認。一部のソフトウェアを介してLDAPSサーバーにアクセスする場合、そのソフトウェアは同じ種類の検証を適用する必要があります。しかし、ほとんどのLDAPSクライアントが完全であるとは思えません。
LDAPサービスをインターネットに公開するのが一般的であるとは言えません。これを行うにはどのようなビジネスケースが必要ですか?これは、データベースサーバーをインターネットに公開したくない場合によく似ています。通常は経由でのみアクセスします。 DMZサービス、LDAPは内部ネットワーク上にあります。Shodansearch for port:389を実行した場合、結果が得られません。MySQLと比較すると、約5528729の結果が得られます。安全だと思います。それは一般的ではないと言うこと。
インターネットに公開するすべてのサービスと同様に、それが安全かどうかは、システムをどのように強化するかによって決まります。インターネット上で必要ない場合は、そこに置かないでください。必要な場合は強化して、必要な人だけにアクセスを制限することを検討してください。例えば。これをある種のフェデレーションサービスに使用する場合、有効なフェデレーションサーバーからのLDAPへの接続のみを信頼することを検討します。