Actualmente, accedemos a Active Directory a través de LDAPS internamente para la autenticación y la recuperación de datos del usuario. ¿Es común o seguro exponer esto públicamente a través de los LDAP?
Addendum 1:
Nuestro caso de negocios, nuestra aplicación web alojada remota basada en la nube necesita autenticar a los usuarios finales con su Active Directory local.
Varios proveedores de la nube requieren acceso LDAP a AD para autenticar a los usuarios ... Puedo nombrar 10 de la cabeza; así que no es infrecuente en un ámbito limitado.
Yo diría que no es aconsejable abrir LDAP a Internet (sin filtro de IP) sin controles adicionales (VPN, autenticación, etc.)
Ya que está exponiendo su servidor LDAP a una carga adicional, consideraría el impacto que tiene en otras aplicaciones que dependen de AD como Exchange, o incluso la autenticación de estaciones de trabajo. Es posible que desee considerar la instalación de un servidor de AD separado en un sitio lógico separado para este propósito. (Exchange tiene una tendencia a tocar todos los servidores de AD en un sitio)
Suponiendo que el servidor LDAPS no tiene agujeros de seguridad , exponerlo a Internet no debería ser más riesgoso (y no menos) que exponer un servidor web HTTPS. Con LDAPS (SSL fuera, tradicionalmente en el puerto 636, el protocolo LDAP en él), la autenticación solicitada por el servidor se realizará bajo la protección de SSL, por lo que está bien (siempre que las contraseñas de autenticación sean seguras, como es habitual). >
... con una advertencia, no obstante. Una gran parte de la seguridad HTTPS es que el navegador , es decir, el cliente, se asegura de que el certificado del servidor sea correcto: verificación de todas las firmas con respecto a un conjunto de anclajes de confianza; verificaciones de estado de revocación; verificación de que el nombre del servidor deseado realmente aparece donde debería estar en el certificado del servidor. Si accede al servidor LDAPS a través de algún software, entonces ese software debería aplicar el mismo tipo de verificaciones; pero dudo que la mayoría de los clientes de LDAPS sean tan completos.
No diría que es común exponer los servicios LDAP a internet. ¿Qué caso de negocio tienes para hacer esto? Es muy parecido a que no desea exponer su servidor de base de datos a Internet. Por lo general, se accede solo a través de. Servicios DMZ, mientras que su LDAP se basa en la red interna. Si hago una búsqueda por puerto de Shodan: 389 no obtengo resultados, en comparación con MySQL, donde obtengo unos 5528729 resultados. Creo que es seguro decir que no es común.
Al igual que con todos los servicios que expone a Internet, la respuesta es segura o no depende de cómo fortalezca el sistema. Si no lo necesita en internet, no lo ponga allí. Si lo necesita, inténtelo y considere limitar el acceso solo a quienes lo necesitan. P.ej. si esto se usa para algún tipo de servicios de federación, consideraría solo confiar en las conexiones al LDAP desde servidores de federación válidos.
Lea otras preguntas en las etiquetas authentication tls protocols active-directory ldap