Attualmente accediamo ad Active Directory tramite LDAPS internamente per l'autenticazione e il recupero dei dati dell'utente. È normale, o sicuro, esporlo pubblicamente su LDAP?
Addendum 1:
Il nostro caso aziendale, la nostra applicazione web ospitata in remoto basata su cloud ha bisogno di autenticare gli utenti finali con la loro Active Directory locale.
Diversi fornitori di cloud richiedono l'accesso LDAP a AD per autenticare gli utenti ... Posso nominare 10 in cima alla mia testa; quindi non è raro in un ambito limitato.
Direi che non è saggio aprire LDAP su Internet (senza filtro IP) senza controlli aggiuntivi (VPN, autenticazione, ecc.)
Dato che stai esponendo il tuo server LDAP a un carico aggiuntivo, prenderei in considerazione l'impatto che ha su altre applicazioni affidabili come AD, come Exchange, o persino l'autenticazione della workstation. Si consiglia di prendere in considerazione un server AD separato in un sito logico separato per questo scopo. (Lo scambio tende a toccare tutti i server AD in un sito)
Supponendo che il server LDAPS non abbia falle di sicurezza , esponendolo all'ampia Internet non dovrebbe essere più rischioso (e non meno) dell'esposizione di un server Web HTTPS. Con LDAPS (SSL esterno, tradizionalmente sulla porta 636, protocollo LDAP in esso), l'autenticazione richiesta dal server verrà eseguita sotto la protezione di SSL, quindi va bene (a condizione che le password di autenticazione siano solide, come al solito).
... con un avvertimento comunque. Gran parte della sicurezza di HTTPS è che il browser , cioè il client, si assicura che il certificato del server sia corretto: verifica di tutte le firme per quanto riguarda un insieme di ancore fidate; controlli sullo stato di revoca; verifica che il nome del server previsto appaia realmente dove dovrebbe nel certificato del server. Se si accede al server LDAPS tramite un software, tale software dovrebbe applicare lo stesso tipo di verifiche; ma dubito che la maggior parte dei client LDAPS sia così completa.
Non direi che è comune esporre i servizi LDAP all'internet. Che caso aziendale devi fare questo? È come se non si desidera esporre il server del database a Internet. Di solito è accessibile solo tramite. Servizi DMZ, mentre il tuo LDAP si basa sulla rete interna. Se faccio ricerca di Shodan per la porta: 389 non ottengo risultati, rispetto a MySQL, dove ottengo circa 5528729 risultati. Penso che sia sicuro dire che non è comune.
Come per tutti i servizi che esponi a Internet, la risposta se è sicura o meno dipende da come indurisci il sistema. Se non ne hai bisogno sull'internet, non metterlo lì. Se hai bisogno di indurirlo, considera di limitare l'accesso solo a chi ne ha bisogno. Per esempio. se questo è usato per qualche tipo di servizi federativi, considererei solo le connessioni fidate all'LDAP dai server federativi validi.
Leggi altre domande sui tag authentication active-directory ldap tls protocols