LDAP: единый каталог учётных записей корпоративной сети

LDAP (Lightweight Directory Access Protocol — облегчённый протокол доступа к каталогам) — это протокол, по которому приложения и сервисы читают и проверяют данные из централизованной службы каталогов: учётные записи сотрудников, группы, должности, адреса, права доступа.

Зачем это нужно бизнесу

Представьте компанию на сотню сотрудников, где почта, файловый сервер, корпоративный портал, VPN и десяток внутренних систем — каждый со своей базой логинов и паролей. Новый сотрудник — заводи его в десяти местах. Уволился — не забудь отключить везде, иначе доступ останется. Сменил пароль — он сменился только в одной системе. Это и дыра в безопасности, и постоянная ручная работа администратора.

Служба каталогов с доступом по LDAP решает это: учётная запись заводится один раз, и все системы спрашивают «есть ли такой пользователь и какой у него пароль» у единого каталога. Уволили — отключили в одном месте, доступ пропал везде. Это фундамент единого входа и управляемого доступа в любой корпоративной инфраструктуре.

Как это работает

LDAP-каталог хранит данные в виде дерева. Каждый объект — пользователь, группа, подразделение — имеет уникальное имя (DN, Distinguished Name) и набор атрибутов (имя, email, телефон, членство в группах).

Когда приложение проверяет пользователя, оно выполняет две операции:

• bind — подключение к каталогу под учётной записью пользователя или сервисной учёткой; так проверяется правильность пароля
• search — поиск объекта и чтение его атрибутов: к каким группам принадлежит, какие у него права, активна ли учётная запись

Сам по себе LDAP отвечает на вопрос «кто этот пользователь и какие у него атрибуты». Проверку личности по паролю часто выносят в отдельный протокол — например, Kerberos, который выдаёт билеты доступа и избавляет от передачи пароля по сети при каждом входе.

Соединения с каталогом обязательно шифруются (LDAPS или STARTTLS) — без этого логины и пароли ходят по сети открытым текстом. Конкретные версии библиотек и наличие сертификатов соответствия — уточнить под вашу инфраструктуру.

Где встречается LDAP

Протокол LDAP — это интерфейс к каталогу, а не сам каталог. Его поддерживают практически все службы каталогов:

• Microsoft Active Directory — публикует данные по LDAP, поверх него работают групповые политики и федерация ADFS
• FreeIPA — open-source каталог для Linux-инфраструктуры (подробнее на отдельной странице)
• Системы единого входа — например, через Keycloak SSO приложения могут авторизовать пользователей из LDAP-каталога
• Сетевое оборудование, VPN-шлюзы, почтовые серверы, корпоративные порталы

Когда нужно компании

• Сотрудников больше 20–30, и завести их в каждую систему руками уже дорого и опасно
• Нужна гарантия, что при увольнении доступ отключается мгновенно и везде
• Внедряется единый вход (SSO), требования по парольной политике и MFA
• Идёт импортозамещение, и Active Directory заменяется на отечественный или open-source каталог

Грамотная парольная политика и многофакторная аутентификация поверх каталога — отдельная тема; мы подробно разобрали её в статье «Парольная политика и MFA: внедрение».

Что включает наша услуга

• Аудит текущего ландшафта учётных записей: где какие базы логинов, есть ли единый каталог
• Проектирование и развёртывание службы каталогов с доступом по LDAP (на базе AD, FreeIPA, ALD Pro — по задаче)
• Подключение почты, VPN, порталов и оборудования к единому каталогу
• Настройка шифрования соединений (LDAPS/STARTTLS) и сервисных учётных записей
• Внедрение парольной политики и MFA, интеграция с SSO
• Сопровождение и мониторинг из нашего NOC

Связанные термины

• Kerberos — протокол аутентификации с билетами — отвечает за проверку личности поверх каталога
• Active Directory, GPO и ADFS — служба каталогов Microsoft, публикующая данные по LDAP
• Keycloak SSO — единый вход — система единого входа, авторизующая пользователей из каталога

Получить расчёт

Откройте калькулятор, отметьте услуги по инфраструктуре и единому входу — получите ориентир. Финальная смета — после аудита текущих учётных записей и систем.