LDAP認証とセッション

BINDのみを使用しても、目的のユーザーへのアクセスが制限されるとは限りません。たとえば、ユーザーがロックされているかどうかも確認する必要があります。 userAccountControl属性。

資格情報をメモリに保存することに本当に懸念があり、LDAPを介してユーザー権限を迅速に停止したい場合は、適切な属性の定期的なクエリでセッションを開いたままにできます。これには他の問題もありますが、この問題は解決されます。

ただし、ユーザーのディレクトリ情報が変更されたときに、ユーザーをアプリケーションから迅速に追い出す必要性を見積もっていると思います。ユーザーをすぐに追い出す必要がある場合は、アプリケーションにユーザーのセッションを無効にするメカニズムが必要です。

また、ユーザー資格情報をメモリに保存することに過度に関心があると思います。これは比較的難しいターゲットであり、ユーザーの資格情報がそれほど機密性の高いものである場合は、メモリに格納できるものを実際に使用するのではなく、要因の1つが時間制限されているか、暗号的に安全、例えばSecurID、またはPC/SC。

認識できることから、問題はActive Directory固有ではありません。 SQLベースまたはその他の種類の認証バックエンドの場合は、この問題が引き続き発生します。私たちが解決しなければならないことは、アカウントの資格情報を思い出したり、再認証を要求したり、セキュリティを放棄したりせずに、ログインしたユーザーアカウントのステータスをどのように把握するかです。

答えは簡単です：できません。ユーザーがまだ有効であることを確認する唯一の方法は、認証サービスで再チェックすることです。

唯一の選択肢はタイムアウトを長くすることです（ユーザーの資格情報を保持してはいけないというトピックについて説明する必要がないと思います）。しかし、それがまさにこのステータスの一貫性の問題に直面している理由です。

これが、この種の問題に対して 適切な脆弱性カテゴリ がある理由です。単に[〜＃〜] not [〜＃〜]長いセッションタイムアウト期間または（一部の人の意見では）長期セッションを有効にする必要があります。

@Abuによって言及されたそのSSOについて何かを試すことができます。しかし、前のリンクで説明したように、NTLMが壊れているためにWindowsが認証する方法について、別の 問題 が開かれているため、デフォルトのKerberos構成が行われます。もちろん、影響を受ける暗号を使用しないようにKerberosを適切に構成することは可能ですが、厳密なインフラストラクチャ管理計画の必要性も伴います（現時点でセッションを無効にするかどうかもわかりません）アカウントは削除、ブロックなどされます）。

セキュリティは常に使いやすさを犠牲にしています。上司と話し、上司に状況を説明し、上司が望むことは何でもしてください。どちらにせよ、彼はhis決定の長所と短所を認識します。それは、セキュリティが低い（サーバーがハッキングされているか、完全に消去されているか）か、再認証について不平を言う電子メール（選択したタイムアウト）。

問題を見るところから、セキュリティの低下の影響この場合は2番目のオプションの影響をはるかに上回ります。

しかし、どこが一番痛いかはあなただけがわかるでしょう。