LDAP Active Directory Farkı
LDAP Active Directory farkı konusuna girmeden önce sanırım herhangi bir hacker ağın anahtarlarının Active Directory’de (AD) olduğunu bilir diyerek konuya başlamalıyız. Bir hacker kullanıcı hesaplarınızdan birine eriştiğinde, veri ihlaline başlamadan önce, onu durdurabilmeniz ve veri güvenliğini yeniden sağlamanız için bir yarış başlar.
Ağınızı yetkisiz erişime karşı korumak için Active Directory’yi enine boyuna bilmek önemlidir ve bilmeniz gerekenler arasında LDAP da dahildir.
LDAP Nedir?
LDAP (Lightweight Directory Access Protocol) genelde kimlik doğrulaması için kullanılan açık kaynak bir dizin hizmeti protokolüdür.
LDAP, kullanılan uygulamaların, diğer dizin hizmeti sunucularıyla iletişim kurmak için kullandığı iletişim dilidir. Dizin hizmetleri (Directory Services); kullanıcıları, parolaları, bilgisayar hesaplarını depolar ve bu bilgileri ağdaki diğer varlıklarla paylaşır.
Active Directory nedir?
Active Directory; kimlik doğrulama, grup, bilgisayar ve kullanıcı yönetimi, ilke (policy) yönetimi gibi her türlü işlevselliği sağlayan bir dizin hizmetleri uygulamasıdır. Active Directory ile ilgili daha geniş bilgiye “Active Directory nedir?” makalesi ile ulaşılabilir.
Active Directory (AD) kimlik doğrulama işlemlerinde hem Kerberos hem de LDAP destekler. Microsoft AD, günümüzde kullanılan en yaygın dizin hizmetleri sistemidir. AD, ofis veya VPN üzerinden lokasyon bağımsız Single-SignOn (SSO) hizmeti sağlar. Kerberos protokolü ile şirketler birçok farklı cihaz ve platformdan gelen giriş isteklerini tek bir yerden yönetebilirler. AD, LDAP destekler ve bu sayede buda erişim yönetiminizde bir parça olabilir.
LDAP kullanan dizin hizmetleri
Active Directory, LDAP destekleyen dizin hizmetlerine yalnızca bir örnektir. LDAP açık kaynaklı bir protokol olduğu için bir çok ücretli ve ücretsiz ürün bulunmaktadır. Bu konuda Red Hat Directory Service, OpenLDAP, Apache Directory Server gibi örneklerde verilebilir.
LDAP vs. Active Directory
LDAP, Active Directory ile konuşmanın bir yoludur LDAP, birçok farklı dizin hizmetinin ve erişim yönetimi çözümünün anlayabileceği bir protokoldür. AD ve LDAP arasındaki ilişki, IIS (Internet Information Service) ve HTTP arasındaki ilişkiye çok benzer:
- HTTP bir web protokolüdür.
- IIS, HTTP protokolünü kullanan bir web sunucusudur.
- LDAP bir dizin hizmetleri protokolüdür.
- Active Directory, LDAP protokolünü kullanan bir dizin sunucusudur.
LDAP Active Directory Alternatifi mi?
Bazen birilerinin “Bizim Active Directory’miz yok ama LDAP sunucu kullanıyoruz” vb. şeyler dedikleri duyulabilir. Muhtemelen bu kastettikleri şey bir LDAP sunucusu olan OpenLDAP gibi bir ürüne sahip olduklarıdır. Bu “Bizim IIS web sunucumuz var” demek yerine sanki “Bizim HTTP’miz var” demek gibi birşeye benziyor.
LDAP Kimlik Doğrulaması nedir?
LDAP v3’te LDAP kimlik doğrulaması için iki seçenek vardır.
- Basit kimlik doğrulama,
- SASL (Simple Authentication and Security Layer)
Basit kimlik doğrulama, üç kimlik doğrulama mekanizmasına sahiptir:
- Anonymous authentication (Anonim kimlik doğrulama): İstemci anonim durumu ile erişim izni alır.
- Unauthenticated authentication (Kimliği doğrulanmamış kimlik doğrulaması): İstemci erişim izni yoktur ve yalnızca log kaydı amacıyla çalışır.
- Ad/Parola kimlik doğrulaması: Sağlanan kimlik bilgilerine göre sunucuya erişim izni verir. Bu kimlik doğrulaması güvenli değildir.
LDAP Güvenli mi?
SASL kimlik doğrulaması, LDAP sunucusunu, Kerberos gibi başka bir kimlik doğrulama mekanizmasına bağlar. LDAP sunucusu, diğer yetkilendirme hizmetleriyle konuşmak için LDAP protokolünü kullanır. Bir oturum açma sürecinde; kullanıcı adı, parola, işlemin başarılı mı, başarısız mı olduğu gibi bir çok ileti dizisi ortamda dolaşır. LDAP tüm bu mesajları varsayılan olarak düz metin (clear text) olarak gönderir ve alır. Bu nedenle ağı dinleyecek herkesin bu paketleri okuyabileceğini unutmamak gerekir. Kullanıcı adları ve şifreleri güvende tutmak için TLS şifrelemesi veya benzeri bir kripto mekanizması eklemek gereklidir.
LDAP Query (Sorgusu) nedir?
LDAP Query (sorgusu), bir dizin hizmetinden bazı bilgiler isteyen bir komuttur. Örneğin, “ahmet” kullanıcısının “Amsterdam” grubuna üye olup olmadığı görmek istenirse, aşağıdaki şekilde bir sorgu gönderilir:
(&(ObjectClass=user)(sAMAccountName = ahmet) (MemberOf=CN=Amsterdam,OU=Users,DC=aktifdizin,DC=net))
Neyse ki akıl sağlının korunması için çoğu durumda LDAP sorguları yazılmasına gerek yoktur.
LDAP Active Directory Farkı
İlerleyen süreçte bu konuyla ilgili, “Active Directory Dersleri” kategorisi altında, Active Directory Lightweight Directory Access Protocol ile ilgili makalaleri sitemizde bulabilirsiniz.
LDAP (Lightweight Directory Access Protocol)
Kullanım Kolaylığı
Kullanıcı Dostu Arayüz
Güvenlik
Lisans Ücreti
Toplam
LDAP (Lightweight Directory Access Protocol) değerlendirmesi:
