Estoy trabajando con una organización que integra muchas aplicaciones con LDAP en un entorno de Windows. Están haciendo un buen trabajo implementando el menor privilegio, por lo que no hay muchos escenarios donde una cuenta de administrador en un sistema sea una cuenta de administrador en otro.
¿Cuáles son los principales riesgos en los que deberíamos estar pensando al integrar aplicaciones en LDAP? ¿Hay problemas importantes con Kerberos que deberíamos controlar?
Su pregunta es un poco amplia y, especialmente, no deja claro si está utilizando LDAP o Kerberos para la autenticación.
Estoy bastante seguro de que hay toneladas de páginas web que proporcionan información sobre las mejores prácticas de seguridad para MS Active Directory en general.
Algunos aspectos importantes con respecto a las aplicaciones:
Si utiliza el enlace simple LDAP para permitir que sus aplicaciones verifiquen la contraseña del usuario, todas estas aplicaciones tendrán acceso a la contraseña de texto simple del usuario
Si utiliza Kerberos, tenga en cuenta que las claves de los servicios siempre están protegidas. Porque si un atacante puede obtener una copia del secreto compartido de un servicio, puede hacerse pasar por cualquier usuario a ese servicio en particular.
En general, recomiendo usar un método de inicio de sesión único basado en criptografía asimétrica. Al menos para las aplicaciones web, eso ya no es tan difícil.
Lea otras preguntas en las etiquetas single-sign-on kerberos ldap risk