LDAP Für Die Benutzerverwaltung Nutzen

Nutzen Sie das LDAP-Verzeichnis von LastPass für die Bereitstellung, Verwaltung und Sicherheit.

Was ist LDAP?

Das Lightweight Directory Access Protocol (LDAP) ist ein offenes, plattformübergreifendes Protokoll. LDAP ist von großer Bedeutung bei der Benutzerkontenverwaltung in Unternehmen und konfiguriert die Authentifizierung der Verzeichnisdienste. Als wichtiger Verzeichnisbestandteil bietet es schnelle Lesezeiten und eine hohe Benutzerfreundlichkeit. Viele Unternehmen setzen bereits auf LDAP-Server, um Unternehmensapps, APIs, Netzwerke/Intranet oder mehr zu verwalten.

Mittels der LDAP-Konfiguration interagieren Apps mit Verzeichnisdienstservern. Auf diesen Servern werden Benutzeridentitäten, Passwörter und weitere Authentifizierungsdaten mit Entitäten innerhalb eines Unternehmensnetzwerks gespeichert und freigegeben.

Die Nutzung von LDAP bietet viele Vorteile, beispielsweise:

  • Einzigartige Benennung dank des globalen Benennungsmodells
  • Möglichkeit, mehrere Verzeichnisse zu verwenden und über TCP/IP und SSL auszuführen
  • Skalierbare, flexible Architektur
  • Open-Source-Anwendungsprotokoll
  • Umfangreiche Nutzung von Diensten wie DNS und TCP
  • Branchenweiter Support
LastPass Business testen

LDAP vs. Verzeichnisintegration

Die Beziehung zwischen LDAP und der Verzeichnisintegration ist analog zu der zwischen Apache und HTTP: HTTP ist ein Webprotokoll, Apache ist ein Webserver, der auf dieses HTTP-Protokoll zurückgreift. Genauso ist LDAP ein Protokoll für Verzeichnisdienste, während die Verzeichnisintegration ein Server ist, der auf das LDAP-Protokoll zurückgreift.

LDAP-Verzeichnis

Ein LDAP-Verzeichnis nutzt das LDAP-Protokoll, um die Zugriffssteuerung für Verzeichnisdienste zu aktivieren. LDAP-basierte Lösungen umfassen das Microsoft Active Directory, das Red Hat Directory Service, OpenLDAP und den Apache Directory Server.

Verzeichnisintegration

Die Verzeichnisintegration ist ein Prozess zur Implementierung von Verzeichnisdiensten. Sie wird verwendet, um den Zugriff zu überwachen und zu authentifizieren. Sie ermöglicht den Zugriff auf Funktionen wie die Richtlinienverwaltung, die Authentifizierung und die Gruppen- und Benutzerverwaltung.

Was ist die LDAP-Authentifizierung?

Wie bereits erwähnt werden in LDAP-Verzeichnissen Identitäten von Benutzern und Gruppen, Passwörter und weitere Authentifizierungsdaten gespeichert. Bei der LDAP-Authentifizierung werden Anmeldedaten (Benutzername und Passwort) mit dem LDAP-Verzeichnis abgeglichen.

Bei dem Authentifizierungsvorgang wird zunächst der Benutzername in das Verzeichnis eingegeben. Wird er gefunden, überprüft der Authentifikator im Anschluss das Benutzerpasswort. Wenn Passwort und Benutzername laut Verzeichnis übereinstimmen, wird der Benutzer authentifiziert und der Zugriff gewährt. Andernfalls wird der Zugriff abgelehnt.

LDAP-Authentifizierungsoptionen

Um eine LDAP-Sitzung zu starten, muss zunächst ein Client mit dem Verzeichnisserver verbunden werden. Letzterer wird als Directory System Agent (DSA) bezeichnet. Standardmäßig wird für den Server die TCP-Portnummer 389 verwendet. Nach Herstellen der Verbindung werden zwischen Client und Server die erforderlichen Informationen ausgetauscht.
Sie können für LDAP eine Vielzahl von Vorgängen ausführen, beispielsweise Hinzufügen, Löschen, Ändern und Bindung bzw. Bindung auflösen. Für die LDAP-Authentifizierung sind zwei Optionen verfügbar, die einfache Authentifizierung und die Authentifizierung per SASL (Simple Authentication and Security Layer).

Einfache Authentifizierung

Bei der einfachen Authentifizierung handelt es sich um einen passwortbasierten Authentifizierungsfaktor, der drei Authentifizierungsmechanismen bereitstellt. Das sind die anonyme Authentifizierung, die nicht authentifizierte Authentifizierung und die Authentifizierung per Name/Passwort.
Bei der einfachen Authentifizierung werden ein zugewiesener Name (Distinguished Name, DN) und ein Passwort in einer Bindungsanfrage verwendet, um die LDAP-Authentifizierung zu erhalten. Die Clientanwendung nutzt den zugewiesenen Namen, um sich selbst bei der Interaktion mit dem Server zu identifizieren. Dann wird der zugewiesene Name mithilfe des Passworts authentifiziert.

SASL-Authentifizierung 

Bei der SASL-Authentifizierung wird ein LDAP-Server an einen anderen Authentifizierungsmechanismus wie Kerberos angehängt. Der LDAP-Server sendet dann eine LDAP-Meldung über ein LDAP-Protokoll an einen anderen Authentifizierungsdienst. Der Prozess beginnt mit einer Reihe von Abfrageantworten. Schließlich führt er zu einer erfolgreichen Authentifizierung (Bindung) oder fehlgeschlagenen Authentifizierung (Bindung wird aufgelöst). Bei einer Gruppenzugehörigkeit, einem Domaincontroller, einer IP-Adresse oder einem anderen LDAP-Client ist es wichtig, zusätzlich eine TLS-Verschlüsselung (Transport Layer Security) zu nutzen. Dies ist ein einfacher Weg, um Benutzernamen und Passwörter einer Organisation zu schützen.

LDAP-Abfrage

Eine weitere Komponente des LDAP-Authentifizierungsvorgangs ist eine LDAP-Abfrage. Bei der LDAP-Abfrage handelt es sich um einen Befehl, der Verzeichnisinformationen von einem Verzeichnisdienst oder einem Directory System Agent abfragt. Er wird für Anfragen wie die Abfrage von Benutzerinformationen innerhalb eines bestimmten Suchfilters für diesen Endbenutzer verwendet. Doch werden für LDAP-Abfragen oft komplexe Syntaxen oder Schemata verwendet, die schwierig zu schreiben sind. Oft werden sie auf einer Point-and-Click-Oberfläche erstellt, über die LDAP-Abrufe und Abfragevorgänge verwaltet werden.

AD-Integration in LastPass

Die Active Directory-Integration ist ein wesentlicher Bestandteil der Verwaltung Ihres Unternehmens und dank LastPass einfacher denn je. Der LastPass-AD-Connector ist ein schlanker, konfigurierbarer Client, der Endbenutzerprofile des On-Premise-AD/-LDAP Ihres Unternehmens mit LastPass synchronisiert. Mit dem LDAP-Directory-Connector können Sie Folgendes tun:

  • Der Synchronisationsclient ist ein Windows-Dienst, den Sie über die Administrationskonsole Ihres LastPass-Business- oder Enterprise-Kontos herunterladen können.
  • Verbinden Sie sich mit Ihrer Active-Directory-Umgebung und unterstützen Sie eine Vielzahl von Bereitstellungs- und Verwaltungsprozessen.
  • Pflegen Sie relevante Daten aus Ihrem Benutzerverzeichnis in LastPass ein und legen Sie verschachtelte Gruppen an, um Gruppenberechtigungen zu verwalten.
  • Synchronisieren Sie Benutzergruppen mit LastPass, um Richtlinienzuweisungen, freigegebene Ordner und SAML-Anwendungszuweisungen zum AD Connector zu erhalten.
  • Stellen Sie Cloud-Apps wie die Google-Suite, Microsoft-Tools und Software wie Salesforce.com bereit.
  • Automatisieren Sie das unternehmensweite Passwort-Management durch Nutzung des LDAP-Verzeichnisses als Identitätsquelle und zur Ermittlung des Benutzerstatus.

Kontaktieren Sie uns, um zu erfahren, wie Sie mit dem LastPass-AD-Connector Admins und Benutzer unterstützen.

Mehr als 100.000 zukunftsorientierte Unternehmen vertrauen auf LastPass

LastPass gehört zu den Apps, nach denen unsere Mitarbeiter von sich aus fragen. Wir müssen keine Werbung mehr dafür machen, die Akzeptanzrate liegt bei über 70 Prozent. Es ist ein Glücksfall für unser Sicherheitsteam; Benutzer können damit ganz leicht komplexe Passwörter erstellen und müssen sich diese nicht mehr merken.

lastpass-logo-icon

Verbesserung der Sicherheit

Behalten Sie den Zugriff und die Authentifizierung Ihrer Mitarbeiter in der Hand – ob von zu Hause oder vom Büro aus – mit einem Tool, das Ihr IT-Team dabei unterstützt, mehr zu tun.