PProfessNet Academy
On-premise & data center/01intro13 min

Active Directory i LDAP w praktyce

W większości firm z infrastrukturą on-premise tożsamość trzyma Active Directory (AD) — usługa katalogowa Microsoftu. Zrozumienie AD i protokołu LDAP jest fundamentem dla bezpieczeństwa środowiska hybrydowego i punktem wejścia konektora ZEUS on-prem.

Struktura AD: las, domena, OU

PojęcieCo to jest
Las (forest)najwyższa granica bezpieczeństwa, zbiór domen
Domena (domain)granica replikacji i polityki (np. corp.firma.pl)
OUOrganizational Unit — kontener na obiekty, do delegacji i GPO
Obiektużytkownik, komputer, grupa, konto usługi

Kontrolery domeny (DC) przechowują bazę katalogu i obsługują logowania (Kerberos, NTLM). GPO (Group Policy) wymuszają konfigurację na maszynach i użytkownikach.

LDAP — jak czyta się katalog

LDAP (Lightweight Directory Access Protocol) to protokół zapytań do katalogu. Obiekty mają Distinguished Name (DN), np.:

CN=Jan Kowalski,OU=IT,DC=corp,DC=firma,DC=pl

Zapytanie LDAP filtruje obiekty po atrybutach. Przykład — wszyscy użytkownicy z włączonym kontem:

ldapsearch -x -H ldaps://dc01.corp.firma.pl \
  -D "CN=svc-zeus,OU=Service,DC=corp,DC=firma,DC=pl" -W \
  -b "DC=corp,DC=firma,DC=pl" \
  "(&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))" \
  sAMAccountName memberOf

Wskazówka: zawsze używaj LDAPS (port 636) lub LDAP + StartTLS. Zwykły LDAP (389) przesyła dane, w tym bindowanie, otwartym tekstem — to finding bezpieczeństwa, który ZEUS zgłasza.

AD domyślnie zwraca maksymalnie 1000 obiektów na zapytanie (MaxPageSize). Żeby odczytać całą domenę (dziesiątki tysięcy obiektów), trzeba użyć paged search — pobierania wyników stronami z cookie kontynuacji. To absolutna podstawa poprawnej inwentaryzacji katalogu.

Kluczowe obiekty dla bezpieczeństwa

  • Privileged groupsDomain Admins, Enterprise Admins, Schema Admins,
  • konta usług ze starym hasłem lub SPN (ryzyko Kerberoasting),
  • konta z PASSWD_NOTREQD lub bez wygasania hasła,
  • nieaktywne konta, które nadal są włączone.

Jak to widzi ZEUS

Konektor ZEUS on-prem wykonuje stronicowane (paged) zapytanie LDAP przez LDAPS, używając dedykowanego konta usługi z uprawnieniami tylko do odczytu. Odczytuje pełną domenę — użytkowników, grupy, komputery, konta usług — i na tej podstawie buduje identity posture: kto należy do grup uprzywilejowanych, które konta są ryzykowne, gdzie brakuje higieny haseł. Pełną mechanikę (reverse-SSH tunnel + skan AD/ADFS) omawiamy w lekcji 06.

W następnej lekcji: vCenter/vSphere i inwentaryzacja maszyn wirtualnych.