برای طراحی یک برنامه کاربردی عملی جنبه‌های مختلفی باید در نظر گرفته شود که یکی از آنها اطمینان از برقراری ارتباط کاملا امن بین برنامه و مشتری است. اطمینان از اینکه کاربران مناسب، مجوزهای لازم را برای دسترسی به داده‌های مناسب دارند، یکی از اتفاقات حیاتی در بحث امنیت اطلاعات محسوب می‌شود. پروتکل LDAP دقیقا همین کار را برای ما انجام می‌دهد. کسانی که در بحث توسعه و امنیت API فعالیت می‌کنند، با پروتکل منبع باز LDAP به خوبی آشنا هستند. اگر دوست دارید شما هم درباره این پروتکل بیشتر بدانید، در ادامه این مطلب همراه ما باشید.

مفهوم پروتکل LDAP چیست؟

پروتکل دسترسی دایرکتوری سبک وزن با نام انگلیسی  Lightweight Directory Access Protocol یا (LDAP) یک پروتکل نرم افزاری است که برای احراز هویت سرویس دایرکتوری استفاده می‌شود و به کاربران و برنامه‌ها اجازه می‌دهد اطلاعات را در یک دایرکتوری، چه در اینترنت عمومی و چه در یک شبکه خصوصی جستجو، پیدا و مدیریت کنند.

کاربران با استفاده از شیوه مدیریتی که LDAP روشی در اختیار آنها می‌گذارد، می‌توانند ورودی‌ها را اضافه کنند، حذف کنند، تغییر دهند، جستجو کنند و بیابند. همچنین فرایند احراز کاربر برای دایرکتوری ساده‌تر می‌کند.

پروتکل LDAP چطور کار می‌کند؟

اگر بخواهیم خیلی ساده توضیح دهیم که پروتکل LDAP چطور کار می‌کند، می‌توانیم اینطور شروع کنیم. اساس کار این پروتکل اتصال یک کاربر LDAP به یک سرور LDAP است که عملیات زیر را شامل می‌شود:

• یک کاربر یا برنامه (بیایید او را کلاینت بنامیم) به سرور LDAP متصل می‌شود.
• کلاینت از پروتکل LDAP استفاده می‌کند تا درخواستش را برای سرور بفرستد.
• پروتکل LDAP بعد از جستجوی دایرکتوری و انجام اقدامات لازم، اطلاعات را برای مشتری ارسال می‌کند.
• در آخر دسترسی کلاینت به سرور LDAP قطع می‌شود.

این توضیح خیلی ساده بود. عملیات LDAP معمولی به همین سادگی نیست. مدیر فناوری اطلاعات باید برای بهینه‌سازی فرایند جستجو پارامترهای بیشتری تعریف کند. مثلا محدودیت اندازه جستجو یا مدت‌زمانی که سرور می‌تواند هر درخواست را پردازش کند، باید تعریف شوند.

اما مهم‌تر از همه قبل از شروع جستجو، سرور LDAP باید کاربر را احراز هویت کند. دو راه وجود دارد:

• روش اول احراز هویت ساده است. در این روش یک کلاینت نام کاربری و رمز عبور خود را وارد می‌کند و بعد از تایید اعتبار اطلاعات، کلاینت به طور خودکار به سرور LDAP وصل می‌شود.
• روش دوم، احراز هویت ساده و لایه امنیتی (SASL) است. در این روش سرور LDAP از یک ابزار یا سرویس واسطه مثل Kerberos استفاده می‌کند تا کلاینت را قبل از اتصال به سرور احراز هویت کند. این روش بیشتر به درد سازمان‌هایی می‌خورد که به اقدامات امنیتی قوی‌تری احتیاج دارند.

در برخی موارد کوئری‌ها (پرس‌و‌جوی کاربر) از جانب منابعی است که در معرض شبکه عمومی قرار دارد. در چنین مواردی شرکت‌ها باید از امنیت لایه حمل و نقل (پروتکل TLS) برای ایمن‌سازی و رمزگذاری کوئری‌ها LDAP استفاده کنند.

هنگام احراز هویت یک کاربر نام کاربری و رمز عبور او باید با موفقیت تأیید شود. همچنین باید مجوز دسترسی به منابع درخواستی را داشته باشد. هنگامی که کاربر با موفقیت احراز هویت شود، پروتکل LDAP اجازه دسترسی را صادر می‌کند و اگر کلاینت امتیازات لازم را نداشته باشد، دسترسی به منبع ممنوع می‌شود.

پورت چیست؟ برای اطلاعات بیشتر می توانید مقاله مورد نظر را مطالعه نمایید.

انواع مدل‌های LDAP کدام‌اند؟

مدل‌های LDAP ویژگی‌های مختلف دایرکتوری و خدماتی که سرور ارائه می‌کند را توصیف می‌کنند. در ادامه این بخش چهار مدل LDAP را توضیح می‌دهیم.

۱. مدل اطلاعات

در این مدل تمام اطلاعات به‌صورت ساختاریافته و سازماندهی شده روی دایرکتوری ذخیره می‌شوند. ورودی (entry) واحد اصلی اطلاعات است که روی دایرکتوری ثبت می‌شود و ویژگی‌هایی حاوی اطلاعات مربوط به اشیاء دارد. مثلا اگر ورودی‌ها شامل افراد، سازمان‌ها یا سرورها باشند، ویژگی‌های آنها می‌تواند نام، شماره تلفن و غیره باشد.

۲. مدل نامگذاری

مدل نامگذاری نحوه سازماندهی و شناسایی ورودی ها را مشخص می‌کند. ورودی‌ها در یک ساختار درختی سلسله مراتبی به نام درخت اطلاعات فهرست (DIT) سازماندهی می‌شوند و هر یک نام منحصربه‌فردی دارند که دنباله ای از نام‌های متمایز نسبی (RDN) است.

۳. مدل عملکردی

مدل عملکردی توابع و عملیات قابل اجرا روی اکتیو دایرکتوری را توصیف می‌کند. در این مدل عملیات بر اساس عملکردها به ۳ دسته تقسیم می‌شوند:

• احراز هویت: عملیاتی که برای ایجاد و خاتمه اتصالات کاربر با یک سرور LDAP استفاده می‌شود و شامل عملیات Bind ،Unbind و Abandon است.
• پرس‌و‌جو: عملیاتی که برای بازیابی اطلاعات از دایرکتوری استفاده می‌شود و شامل عملیات Search و Compare است.
• به‌روز‌رسانی: عملیاتی است که برای ایجاد تغییرات در ورودی‌های ذخیره در دایرکتوری استفاده می‌شود و شامل عملیات Add ،Delete ،Modify و ModifyDN است.

۴. مدل امنیتی

در مدل امنیتی اطلاعات موجود  در یک دایرکتوری را می‌توان از دسترسی کاربران غیرمجاز خارج کرد. این مدل عمدتاً بر اساس عملیات Bind است که بخش مهمی از احراز هویت را تشکیل می‌دهد و می‌توان آن را به روش‌های مختلف پیاده کرد.

انواع عملیات در LDAP

انواع عملیاتی که می‌توان برای انجام عملکردهای مختلف روی این پروتکل پیاده کرد، عبارت‌اند از:

• Bind: عملیات bind این پروتکل برای ایجاد یک جلسه بین کلاینت و سرور و احراز هویت کاربر استفاده می‌شود.
• Unbind: از عملیات unbind برای قطع ارتباط بین کاربر و سرور پس از انجام عملیات درخواستی استفاده می‌شود.
• Search: عملیات جستجو برای یافتن و بازیابی ورودی‌های دایرکتوری مطابق با معیارهای مشخص استفاده می‌شود.
• Compare: عملیات مقایسه برای بررسی مقادیر ویژگی‌ها ورودی‌ها استفاده می‌شود.
• Add: عملیات افزودن برای ایجاد ورودی‌های جدید در دایرکتوری استفاده می‌شود.
• Delete: عملیات حذف برای حذف ورودی‌های خاصی از فهرست دایرکتوری استفاده می‌شود.
• Modify: از عملیات اصلاح برای تغییر یک ورودی استفاده می‌شود.
• Abandon: از عملیات رهاسازی برای درخواست توقف پردازش عملیاتی که قبلاً کاربر درخواست کرده بود، استفاده می‌شود.

وظایف LDAP

LDAP به دلیل سادگی، سرعت و انعطاف‌پذیری به یک ابزار کاربردی در سازمان‌ها تبدیل شده است. این پروتکل نه تنها دسترسی به اطلاعات را ساده می‌کند، بلکه امنیت و یکپارچگی داده‌ها را نیز تضمین می‌نماید. مهمترین وظایف LDAP شامل موارد زیر است:

• سازماندهی اطلاعات ساختاری: LDAP به سازمان‌ها کمک می‌کند تا اطلاعات خود را به صورت سلسله‌مراتبی و منظم ذخیره کنند. این قابلیت برای تعریف بخش‌ها، واحدها و نقش‌های سازمانی بسیار مفید است.
• مدیریت کاربران و دسترسی‌ها: یکی از اصلی‌ترین کاربردهای LDAP، مدیریت اطلاعات کاربران مانند نام‌کاربری، رمز عبور و سطح دسترسی‌ها است. این اطلاعات در یک دایرکتوری متمرکز ذخیره می‌شوند و به راحتی قابل به‌روزرسانی هستند.
• ذخیره و بازیابی اطلاعات تماس: LDAP می‌تواند اطلاعات تماس مانند آدرس ایمیل، شماره تلفن و سایر جزئیات را در یک دایرکتوری ذخیره کند. این اطلاعات به سرعت قابل جستجو و بازیابی هستند.
• مدیریت دستگاه‌های شبکه: این پروتکل برای مدیریت اطلاعات مربوط به دستگاه‌های شبکه مانند سرورها، روترها و سوئیچ‌ها نیز استفاده می‌شود. اطلاعاتی مانند آدرس IP و تنظیمات دستگاه‌ها به راحتی در دایرکتوری ذخیره و مدیریت می‌شوند.
• مدیریت اطلاعات مشتریان: در برخی سازمان‌ها، LDAP برای نگهداری و مدیریت اطلاعات مشتریان مانند نام، آدرس و شماره تماس به کار می‌رود. این اطلاعات به صورت متمرکز ذخیره می‌شوند و دسترسی به آن‌ها ساده است.

چرا از پروتکل LDAP استفاده کنیم؟

شاید بپرسید دلیل استفاده از این پروتکل چیست؟ استفاده از آن چه اهمیتی دارد؟ این پروتکل کاربردهای متنوعی دارد که رایج‌ترین آن‌ها عامل مرکزی احراز هویت است. گفتیم که این پروتکل چطور به سازمان‌ها کمک می‌کند نام‌های کاربری و رمز عبور را تأیید کنند و مدیریت دسترسی مشتری در شبکه را رقم بزنند. هم‌چنین کمک می‌کند کاربران ویژگی‌هایی مثل ایمیل، شماره تلفن و موارد دیگر را بیابند و آنها را مدیریت کنند. از موارد استفاده این پروتکل می‌توان به موارد زیر اشاره کرد:

• افزودن، به‌روز‌رسانی یا حذف فایل‌ها در پایگاه داده
• جستجوی داده‌های خاص در پایگاه داده
• مقایسه دو فایل به لحاظ شباهت‌ها و تفاوت‌ها
• ایجاد تغییر در ثبت‌های موجود پایگاه داده و موارد دیگر

علاوه بر اینها امکان دسترسی کاربران به دارایی‌های متصل به شبکه مثل چاپگرها، فایل‌ها و سایر منابع اشتراکی فراهم می‌شود و سازمان‌ها می‌توانند با سرویس‌های دایرکتوری مختلف تعامل داشته باشند.

مطالعه مقاله همه پروتکل‌ های شبکه را از دست ندهید.

شرکت هایی که از پروتکل LDAP استفاده می‌کنند

این پروتکل به خصوص در شرکت‌های بزرگ مقیاس می‌تواند کارایی بسیار خوبی از خود نشان دهد. برخی از شناخته‌شده‌ترین شرکت‌های جهان که از این پروتکل استفاده می‌کنند عبارتند از:

• IBM: خدمات و مشاوره
• Palo Alto Networks: امنیت کامپیوتر و شبکه
• OpenText: توسعه نرم افزار
• Fortinet: امنیت کامپیوتر و شبکه
• Zscaler: امنیت کامپیوتر و شبکه
• Ivanti: توسعه نرم افزار
• Atlassian: توسعه نرم افزار

به طور کلی، شرکت‌هایی که ساختار پیچیده‌تری داشته و به مدیریت کاربران زیاد با نقش‌های مختلف نیاز دارند، می‌توانند از LDAP استفاده کنند؛ سازمان‌های بزرگ، شرکت‌های فناوری اطلاعات، شعبه‌های مرکزی بانک‌ها، دانشگاه‌ها و موسسات آموزشی از این جمله هستند. در این نوع شرکت‌ها، تعداد کاربران ممکن است بسیار زیاد باشد و هر کاربر ممکن است به منابع مختلفی دسترسی داشته باشد. به همین دلیل، LDAP می‌تواند به آن‌ها کمک کند تا به طور متمرکز اطلاعات را مدیریت کرده و از بروز مشکلات امنیتی احتمالی جلوگیری نمایند.

از سوی دیگر، شرکت‌های کوچک مقیاس یا خانگی به دلیل ساختار ساده و کوچکی که دارند، معمولا نیازی به استفاده از پروتکل LDAP ندارند؛ زیرا در این موارد، مدیریت کاربران و دسترسی‌ها می‌تواند به سادگی از طریق روش‌های سنتی انجام شود. بنابراین، انتخاب LDAP برای این گروه‌ها غالبا مقرون به صرفه و عملی نیست.

ارتباط پروتکل LDAP و Active Directory چیست؟

سوال بعدی که مطرح می‌شود، ارتباط بین LDAP و Active Directory است. برای درک بهتر این ارتباط بیایید ابتدا کمی بیشتر با اکتیو دایرکتوری آشنا شویم.

Active Directory مایکروسافت یک سرویس دایرکتوری است که برای مدیریت دامنه‌ها، کاربران و منابع توزیع شده در شبکه استفاده می‌شود و وظیفه مدیریت اشیا و کنترل دسترسی کاربران به اشیا و منابع را به عهده دارد.

اگر بخواهیم عمیق‌تر شویم، اکتیو دایرکتوری اطلاعات مربوط به تمام حساب‌های کاربری یک شبکه را مدیریت می‌کند و با هر حساب کاربری به‌عنوان یک شی رفتار می‌کند. تصور کنید هر یک از اشیاء شبکه ویژگی‌های خاص خود را داشته باشد! حجم زیادی از اطلاعات تولید می‌شود که استخراج داده از آن کار راحتی نیست. پروتکل LDAP برای حل چالش استخراج امن و بهینه این اطلاعات معرفی شده است.

«LDAP راهی برای صحبت کردن با Active Directory است.»

LDAP به کاربران کمک می کند تا در بستری امن با اکتیو دایرکتوری ارتباط برقرار کنند، احراز هویت کنند و دسترسی آنان به اطلاعات درون اکتیو دایرکتوری را فراهم می‌کند. بخش زیادی از سرویس‌های دایرکتوری قادرند پروتکل LDAP را درک کنند و با آن کار کنند.

LDAP و Active Directory با هم کار می‌کنند تا به کاربران کمک کنند.

جدول تفاوت LDAP و Active Directory

این دو ابزار می‌توانند از جهات گوناگونی با هم تفاوت داشته باشند. می‌توان گفت در سیستم‌هایی که توسط مایکروسافت پشتیبانی می‌شوند، استفاده از Active Directory رایج‌تر است؛ اما در سایر سیستم‌ها مانند لینوکس، ممکن است از LDAP استفاده گردد. به طور خلاصه، می‌توانید مهمترین تفاوت‌های LDAP و Active Directory را در جدول زیر مشاهده نمایید.

Open LDAP

OpenLDAP یک پروتکل مستقل از سیستم عامل است که برای مدیریت دایرکتوری‌ها استفاده می‌شود و روی سیستم‌عامل‌هایی مانند لینوکس، BSD و دیگران اجرا می‌شود. برای استفاده از آن در لینوکس، باید نرم‌افزار OpenLDAP را نصب کنید. این پروتکل متن‌باز و رایگان است، اما راه‌اندازی و نگهداری زیرساخت آن می‌تواند هزینه‌بر باشد.

OpenLDAP به دلیل سازگاری عالی با لینوکس و یونیکس، در محیط‌های DevOps محبوب است. برای احراز هویت و دسترسی به منابع در محل، مانند Active Directory، استفاده از VPN ضروری است. اگرچه این پروتکل انعطاف‌پذیر است؛ اما سازمان‌ها باید هزینه‌های مدیریت و نگهداری آن را در نظر بگیرند.

جایگاه LDAP در cloud

با گسترش فناوری‌های ابری و تغییر محیط‌های کاری، نیاز به راهکارهای دایرکتوری انعطاف‌پذیر و سازگار با سیستم‌های مختلف نیز بیشتر شده است. امروزه، بیش از ۵۵ درصد کسب‌وکارها از سیستم‌های مک (Mac) استفاده می‌کنند و حدود ۹۰ درصد زیرساخت‌های ابری جهان بر پایه لینوکس کار می‌کنند. این تنوع در سیستم‌عامل‌ها باعث شده است که راهکارهای سنتی مانند Active Directory (AD) مایکروسافت یا رویکردهای مبتنی بر Azure دیگر پاسخگوی نیاز همه سازمان‌ها نباشند.

در این شرایط، LDAP ابری و سرویس‌هایی مانند Directory-as-a-Service (DaaS) به عنوان راهکارهای مدرن و یکپارچه مطرح شده‌اند. این سرویس‌ها نه تنها با محیط‌های چند سیستم عاملی سازگار هستند، بلکه بار مدیریت دایرکتوری را به طور چشمگیری کاهش می‌دهند.

مزایای Cloud LDAP

• کاهش بار مدیریتی: Cloud LDAP نیاز به راه‌اندازی و نگهداری سرورهای دایرکتوری فیزیکی را از بین می‌برد. سازمان‌ها می‌توانند به سادگی نقاط پایانی خود را به سرویس‌های ابری متصل کنند.
• سازگاری با فناوری‌های نوظهور: سرویس‌های دایرکتوری ابری از پروتکل‌های متنوعی پشتیبانی می‌کنند که آن‌ها را برای تطبیق با فناوری‌های جدید آماده می‌سازد.
• رابط کاربری ساده و پشتیبانی فنی: بسیاری از سرویس‌های Cloud LDAP دارای رابط کاربری گرافیکی (GUI) هستند که نیاز به کدنویسی را کاهش می‌دهد. همچنین، پشتیبانی فنی در صورت نیاز ارائه می‌شود.
• امکان استفاده از خط فرمان: همچنان برخی سرویس‌ها برای سازمان‌هایی که نیاز به انجام عملیات انبوه دارند، گزینه‌های خط فرمان (CLI) را ارائه می‌دهند.

نحوه راه‌اندازی پروتکل LDAP

مراحل راه‌اندازی یک سرور LDAP بسته به نرم افزار و سرویسی که استفاده می‌کنید متفاوت است. بنابراین، قبل از تصمیم‌گیری در مورد سرور LDAP، مراحل راه‌اندازی پروتکل را برنامه‌ریزی کنید که شامل تعیین گروه‌های کاربری، مجوزها و تنظیم پارامترهای امنیتی است.

موقع برنامه‌ریزی باید دستگاه‌ها، پلتفرم‌ها و سیستم‌عامل‌های مورد استفاده کسب و کار را در نظر بگیرید. سپس دسترسی به سرور LDAP را برای دستگاه های مذکور پیکربندی کنید. با همگام‌سازی مخاطبین روی دستگاه‌های macOS و iOS می‌توان به افراد اجازه جستجو در پایگاه داده دایرکتوری را داد.

مزایای LDAP

در ادامه به بررسی مهم ترین مزایای پروتکل LDAP خواهیم پرداخت:

• سازگاری بالا: با سیستم‌عامل‌های مختلف مانند لینوکس، ویندوز و مک سازگار است.
• متن‌باز و رایگان: این پروتکل متن‌باز است و هزینه‌ای برای دانلود و استفاده ندارد که آن را به ابزاری مقرون به صرفه تبدیل می‌کند.
• مدیریت متمرکز: LDAP مدیریت متمرکز اطلاعات را فراهم می‌کند و به سازمان‌ها اجازه می‌دهد داده‌های کاربران، دستگاه‌ها و منابع شبکه را به راحتی سازماندهی و کنترل کنند.
• سرعت و کارایی: این پروتکل سرعت و کارایی بالایی در جستجو و بازیابی اطلاعات دارد که آن را برای محیط‌های بزرگ و پیچیده مناسب می‌سازد.
• امنیت قوی: LDAP از امنیت بالایی برخوردار است و با استفاده از رمزنگاری و احراز هویت، از داده‌ها در برابر دسترسی‌های غیرمجاز محافظت می‌کند.
• انعطاف‌پذیری: انعطاف‌پذیری آن باعث می‌شود در محیط‌های مختلف از جمله DevOps و سازمان‌های بزرگ به‌راحتی قابل استفاده باشد.

LDAP چه خطرات و ریسک‌هایی دارد؟

شهرت و انعطاف‌پذیری LDAP باعث نمی‌شود بی‌عیب باشد. این پروتکل خطراتی هم دارد که اگر به موقع و به درستی مورد توجه قرار نگیرند، از نظر API مشکلات جدی ایجاد خواهند کرد. نگران کننده‌ترین آنها وقوع تزریق LDAP یا حملات LDAP است که از امکان ارتباط این پروتکل با منابع خصوصی نشات می‌گیرد.

تزریق LDAP چیست؟

تزریق LDAP یک نوع حمله سایبری است که طی آن کدهای مخرب توسط یک برنامه وب تزریق می‌شود تا به اطلاعات/داده‌های دایرکتوری LDAP دسترسی پیدا کند. کد آسیب‌زا معمولا متاکاراکترهای LDAP دارد که درخواست‌های تأیید شده کاربران LDAP را تغییر می‌دهد.

اگر این حمله موفقیت‌آمیز باشد، دسترسی غیرمجاز کاربران خارجی، نقض داده‌ها و سرقت حساب اتفاقاتی است که باید در انتظار آنها باشیم. البته شدت آسیب سیستم بر اساس داده‌هایی که تحت تأثیر حمله قرار می‌گیرند، متفاوت است.

حملات تزریق LDAP تنها زمانی رخ می‌دهند که سرورهای LDAP به درست بودن فرایندهای درخواست‌های LDAP توجه کافی نشان ندهند. این بی‌دقتی زمینه نفوذ عوامل مخرب را ایجاد می‌کند.

چطور از LDAP محافظت کنیم؟

از آنجایی که LDAP ریسک‌های خودش را دارد، باید راه‌هایی برای تضمین امنیت آن بلد باشیم. در ادامه برخی از روش‌های محافظت از این پروتکل را مرور می‌کنیم.

• زمانی که ورودی سمت سرور اعتبارسنجی شود، می‌توان مطمئن بود همه ورودی‌ها از اعتبار کافی برای دسترسی برخوردارند.
• استفاده از مکانیزم فرار رشته‌های ورودی یک استراتژی ایمن‌سازی موثر برای این پروتکل است. چون ورودی‌های آسیب‌زا را به عنوان یک مقدار رشته‌ای پردازش می‌کند.
• اجرای استراتژی اصل حداقل امتیاز (POLP) به امنیت حساب LDAP کمک می‌کند.

برای مطالعه بیشتر مقاله حمله SQL injection را پیشنهاد می کنیم.

کلام آخر

پروتکل LDAP صرف نظر از اینکه تحت وب یا در فضای ابری اجرا شود، این امکان را برای سازمان‌ها فراهم می‌کند تا کاربران را به‌طور کاملا امن و موثر به سرویس‌های دایرکتوری خود متصل کنند و روی اطلاعات دایرکتوری عملیات انجام دهند. برای رسیدن به این هدف، LDAP باید روی دستگاه‌های مدیریت‌شده کاربران پیکربندی و آماده استفاده باشد.

در این مقاله با مفهوم این پروتکل و جزئیات مربوط به آن آشنا شدیم و فهمیدیم استفاده از آن چه مزیت‌هایی برای ارتباط بهتر سازمان‌ها و کلاینت‌ها دارد. امیدواریم بعد از مطالعه این مطلب پاسخ بی‌جوابی درباره این پروتکل در ذهنتان باقی نمانده باشد.

راستی اگر شما اطلاعات بیشتری درباره LDAP دارید که فکر می‌کنید از قلم ما جا افتاده است، حتما آن را در بخش نظرات با ما و مخاطبان ما در میان بگذارید.

سوالات متداول