aykut tuylu Identity, Security

Ldap Ldaps Geçişi

LDAP

LDAP özgün bir veri tabanı yönetim sistemidir. Normal veri tabanı yönetim sistemlerinden farklı olarak okuma işlemi için özelleştirilmiştir. LDAP varsayılan olarak TCP port 389 kullanır. LDAP, Active Directory ile konuşmanın bir yoludur. LDAP, birçok farklı dizin hizmeti ve erişim yönetimi çözümünün anlayabileceği bir protokoldür.

Varsayılan olarak, istemci ve sunucu uygulamaları arasındaki LDAP iletişimleri şifrelenmez. Bir ağ izleme cihazı veya yazılımı kullanılarak bu trafik izlenebilir. Kimlik bilgileri (kullanıcı adı ve şifre) ağ üzerinden şifrelenmemiş olarak geçtiği için bu bilgiler kolayca ele geçirilebilir.

LDAPS (Secure LDAP)

Secure LDAP (LDAPS) temelde aynı LDAP gibi, ancak farklı şekilde paketlenmiştir. TLS üzerinden LDAP ve SSL üzerinden LDAP olarak da bilinen LDAPS, bir dizin bağlantısı kurulurken geçiş sırasında kimlik bilgilerinin şifrelenmesine izin verir, böylece kimlik bilgilerinin ele geçirilmesine karşı koruma sağlar. LDAP varsayılan olarak TCP port 636 kullanır.

Şifreleme protokolleri olarak SSL ve TLS, herhangi bir veri alışverişi yapılmadan önce istemci ve sunucu arasında güvenli bir bağlantı kurmak için sertifikaları kullanır. (TLS, artık kullanılmayan SSL’in yerini almıştır.)

LDAPS’E GEÇİŞ YAPILMASI

LDAPS uygulamaya yönelik ilk adım, onu halihazırda kullanmayan uygulamaları tespit etmektir. Genellikle uygulamaların AD’ye bağlanmak için hangi bağlantı noktasını kullandığını bulmanın bazı yolları vardır. Sertifikaları uygun şekilde yapılandırılmış bir LDAP trafiği, 636 portu üzerinden Secure LDAP olarak şifrelenmiş bir şekilde gerçekleşecektir. AD event log’larını tarayarak güvenli olmayan bağlantıları bulabilir ve düzeltebilirsiniz. Secure LDAP dışında bir bağlantı noktası kullanan herhangi bir uygulama araştırılmalıdır. AD’de varsayılan olarak LDAP 389 portu üzerinden şifrelenmeden bağlantı gerçekleştiren uygulamalar çıkarılmalıdır.

Yapınızda Microsoft Advanced Threat Analytics (ATA) kullanıyorsanız, ATA raporlarından “Daily Cleartext passwords exposed using unencrypted LDAP authentications report” raporunu çekerek, şifrelenmeden gerçekleştirilen LDAP bağlantılarını görebilirsiniz. Yapınızdaki tüm LDAP bağlantılarını LDAPS’e geçirdikten sonra AD üzerinde gerekli politikayı hazırlayarak LDAP 389 portu üzerinden gelen istekleri direkt olarak reddederek şifrelenmemiş LDAP bağlantısının oluşmasının önüne geçebilirsiniz.

LDAPS İÇİN SERFİTİKANIN ALINMASI

Secure LDAP kullanmak ve bağlantıyı şifrelemek için sertifika kullanılır. Bu sertifika, yönetilen uygulamalara geçilir ve uygulamaların bağlantı kurarken şifreli bir şekilde iletişim kurmasına olanak sağlar. AD’ye bağlanan istemciler tarafından güvenilen CA veya bu istemciler tarafından güvenilen bir kuruluş CA’si olabilir. Sertifika süresine dikkat edilmelidir, sertifika süresi dolduğunda LDAPS erişimi gerçekleşmeyecektir. Bu özellikleri sağlayan sertifikanızı aşağıdaki örnekteki gibi dışarıya aktarabilirsiniz.

  • Run’a MMC yazılarak, Microsoft Management Console (MMC) ekranı, admin yetkileriyle açılır.
  • File menüsünde, Add/Remove Snap-in… seçilir.
  • Gelen ekrandan Certificates üzerine gelerek Add yapılır ve Computer account seçilerek devam edilir.
  • MMC ekranı üzerinde bu işlem için kullanacağınız sertifikanın üzerine gelerek All Tasks > Export… tıklanır.
  • Gelen Certificate Export Wizard ekranını üzerinden devam edilir.
  • Sertifika için Private key verilmelidir. Private key, dışarıya aktarılmış sertifikaya dahil edilmediğinde, LDAPS etkinleştirme işlemi başarısız olacaktır.
  • Export Private Key sayfasında Yes, export the private key seçilerek devam edilir.
  • LDAPS için private key içeren .PFX sertifika dosya biçimi kullanılmalıdır. Sertifika private key içermeyen .CER dosya biçiminde dışarıya aktarılmamalıdır.
  • Export File Format sayfasında Personal Information Exchange – PKCS #12 (.PFX) seçilerek, altındaki Include all certificates in the certification path if possible kutusu işaretlenir.
  • Security sayfasında, .PFX sertifika dosyası için Password belirlenir. Şifreleme algoritması için TripleDES-SHA1 seçilerek, devam edilir. Oluşturulan Password daha sonra kullanılacağı için kaydedilmelidir.
  • File to Export sayfasında, sertifikayı dışarı aktarmak için, dosya adı ve dizinini belirterek devam edilir.
  • Review sayfasında, Finish seçilerek işlem tamamlanır.

LDAPS ETKİNLEŞTİRME

Her uygulamanın Secure LDAP’ı etkinleştirmek için farklı ekran ve yöntemleri bulunmaktadır. Bu konuda uygulama sahiplerinden veya uygulamaya destek veren danışmanlardan destek alınması önerilmektedir. Bu örnek genel mantığın anlaşılması sebebiyle hazırlanmıştır.

Bizler örnek olarak Azure AD’nin LDAPS özelliğini aktif hale getireceğiz.

Azure Portal üzerinden Search resources içerisinden Azure AD Domain Services seçilir.

Azure AD DS penceresinin sol tarafından Secure LDAP seçilir.

Varsayılan olarak LDAPS erişimi devre dışı olarak gelmektedir. Etkinleştirmek için Secure LDAP özelliği Enable olarak değiştirilir.

.PFX file with secure LDAP certificate kısmına gelinerek, sağ taraftaki klasör simgesi tıklanır. Sertifikanın oluşturulduğu dizine gidilerek, .PFX dosyası seçilir.

.PFX dosyası içe aktarılırken, daha önce belirlenen private Key Password to decrypt .PFX file için girilir.

Scure LDAP özelliğini etkinleştirmek için Save seçilerek işlem tamamlanır.

EK Bilgi:

LDAP over SSL (LDAPS) Certificate – TechNet Articles – United States (English) – TechNet Wiki (microsoft.com)