LDAP

LDAP (Lightweight Directory Access Protocol) ist das Standardprotokoll für den Zugriff auf Verzeichnisdienste in Unternehmensnetzwerken. Es bildet die technische Grundlage von Active Directory und nahezu jedem anderen Enterprise-Verzeichnisdienst. Über LDAP werden Benutzerkonten, Gruppenmitgliedschaften, Computerkonten und Berechtigungen in einer hierarchischen Baumstruktur organisiert, abgefragt und verwaltet.

Aufbau und Funktionsweise

LDAP organisiert Objekte in einem hierarchischen Verzeichnisbaum. Jedes Objekt wird durch einen Distinguished Name (DN) eindeutig identifiziert — beispielsweise CN=Max Mustermann,OU=IT,DC=firma,DC=local. Die Struktur gliedert sich in Domänenkomponenten (DC), Organizational Units (OU) und Common Names (CN). Diese Hierarchie ermöglicht eine logische Abbildung der Unternehmensstruktur und granulare Zugriffssteuerung auf Verzeichnisebene.

Das Protokoll definiert eine Reihe von Standardoperationen: Bind (Authentifizierung am Verzeichnis), Search (Abfrage von Objekten mit Filtern), Add, Modify und Delete (Verwaltung von Einträgen) sowie Compare (Attributvergleich). In Active Directory-Umgebungen nutzen Anwendungen, Skripte und Verwaltungstools diese Operationen, um Benutzer zu authentifizieren, Gruppenmitgliedschaften aufzulösen und Konfigurationen abzufragen.

LDAP-Sicherheit

LDAP überträgt Daten standardmäßig unverschlüsselt über Port 389 — einschließlich Anmeldedaten bei einfacher Bindung. Für den sicheren Betrieb stehen zwei Mechanismen zur Verfügung: LDAPS (LDAP over TLS, Port 636) verschlüsselt die gesamte Verbindung von Beginn an. StartTLS rüstet eine bestehende Verbindung auf Port 389 nachträglich auf TLS auf. Beide Varianten schützen vor dem Abfangen von Credentials und Verzeichnisdaten im Netzwerk.

Zusätzlich zur Transportverschlüsselung sind LDAP Signing (Integritätsschutz gegen Manipulation) und LDAP Channel Binding (Schutz gegen Relay-Angriffe) wesentliche Härtungsmaßnahmen. Microsoft empfiehlt seit langem, LDAP Signing auf Domain Controllern zu erzwingen — in der Praxis ist diese Einstellung in vielen Umgebungen jedoch nicht aktiviert.

Häufige Schwachstellen

Fehlkonfigurationen bei LDAP gehören zu den häufigsten Befunden in AD-Assessments. Anonymous Bind erlaubt unauthentifizierten Zugriff auf das Verzeichnis und gibt Angreifern Einblick in die gesamte AD-Struktur — Benutzerkonten, Gruppenmitgliedschaften und Organisationseinheiten. LDAP Injection nutzt unzureichend validierte Benutzereingaben in LDAP-Abfragen aus, um Filter zu manipulieren und unbefugt auf Daten zuzugreifen. Unverschlüsseltes LDAP ermöglicht das Abfangen von Credentials durch Netzwerk-Sniffing. Und übermäßig permissive LDAP-Abfragerechte erlauben es authentifizierten Nutzern, sensitive Attribute wie Passwort-Hashes oder Zertifikate auszulesen.

Härtungsmaßnahmen

Die Absicherung von LDAP erfordert mehrere aufeinander abgestimmte Maßnahmen: LDAPS oder StartTLS erzwingen und unverschlüsseltes LDAP deaktivieren. LDAP Signing und Channel Binding per GPO auf „Required" setzen. Anonymous Bind auf allen Domain Controllern deaktivieren. LDAP-Abfragerechte auf das notwendige Minimum einschränken und sensitive Attribute schützen. Anwendungen auf sichere Bindungsmethoden (Kerberos oder SASL) umstellen statt Simple Bind mit Klartextpasswörtern. Und alle LDAP-Zugriffe im SIEM überwachen, um anomale Abfragemuster frühzeitig zu erkennen.

Relevanz für KMUs

LDAP läuft in jeder Active-Directory-Umgebung im Hintergrund — auch im Mittelstand. Die häufigsten Probleme in der Praxis: unverschlüsselte LDAP-Verbindungen, nicht erzwungenes LDAP Signing und aktivierter Anonymous Bind. Diese Fehlkonfigurationen lassen sich mit Bordmitteln über Gruppenrichtlinien korrigieren. Der erste Schritt ist ein LDAP-Audit, das den aktuellen Zustand der Konfiguration erfasst und einen priorisierten Härtungsplan liefert.