Sto lavorando con un'organizzazione che sta integrando molte app con LDAP in un ambiente Windows. Stanno facendo un buon lavoro di implementazione dei privilegi minimi, quindi non ci sono molti scenari in cui un account amministratore su un sistema è un account amministratore su un altro.
Quali sono i rischi principali a cui dovremmo pensare quando si integrano le applicazioni in LDAP? Ci sono problemi significativi con Kerberos per i quali dovremmo controllare?
La tua domanda è un po 'ampia e soprattutto non chiarisce se stai utilizzando LDAP o Kerberos per l'autenticazione.
Sono abbastanza sicuro che ci sono tonnellate di pagine web che forniscono informazioni sulle migliori pratiche di sicurezza per MS Active Directory in generale.
Alcuni aspetti importanti riguardanti le applicazioni:
Se si utilizza il binding LDAP semplice per consentire alle applicazioni di verificare la password dell'utente, tutte queste applicazioni hanno accesso alla password di testo non crittografato dell'utente
Se si utilizza Kerberos, tenere presente che le chiavi dei servizi sono sempre protette. Perché se un utente malintenzionato può ottenere una copia del segreto condiviso di un servizio che può impersonare come qualsiasi utente di quel particolare servizio.
In generale, consiglierei di utilizzare un metodo single sign-on basato sulla crittografia asimmetrica. Almeno per le applicazioni web che non è poi così difficile.
Leggi altre domande sui tag risk ldap kerberos single-sign-on