Wat is LDAP?
LDAP staat voor Lightweight Directory Access Protocol en is een open standaardprotocol waarmee clients toegang krijgen tot informatie in een directoryservice, zoals gebruikersaccounts, apparaten, rechten en groepen.
LDAP wordt vaak gebruikt door systemen zoals Active Directory, Entra ID, RADIUS en andere directoryservers om Authenticatie en autorisatie mogelijk te maken — ook binnen OT-omgevingen.
🧠 Hoe werkt LDAP?
- Een LDAP-client (zoals een applicatie of netwerkapparaat) maakt verbinding met een LDAP-server (zoals Active Directory)
- De client stuurt een zoekverzoek, bijvoorbeeld: “Welk wachtwoord hoort bij gebruiker
jansen?” - De server zoekt in de hiërarchische directory en stuurt een antwoord terug
- LDAP-structuren zijn hiërarchisch opgebouwd:
- DN (Distinguished Name):
cn=Jansen,ou=OT,dc=bedrijf,dc=local - Objecten: gebruikers, computers, groepen, policies
- LDAP draait standaard op:
- Poort 389 (LDAP)
- Poort 636 (LDAPS – versleuteld via TLS)
LDAP werkt volgens een client-servermodel en ondersteunt binding, authenticatie en zoekopdrachten in grote directorystructuren.
🏭 Toepassing van LDAP in OT-netwerken
- Authenticatie van gebruikers op SCADA, HMI, Historian en Engineering Stations via LDAP
- Koppeling van RADIUS-servers aan Active Directory voor gecentraliseerde login
- Opvragen van gebruikersgroepen in RBAC-systemen voor toegangscontrole
- Gebruikt in oudere systemen die geen SAML, OIDC of OAuth2 ondersteunen
- Synchronisatie van gebruikers tussen IT- en OT-directorydiensten
LDAP is lichtgewicht en breed ondersteund, waardoor het ideaal is voor compatibiliteit met industriële software.
🔍 LDAP vs. Active Directory
| Aspect | LDAP | Active Directory |
|---|---|---|
| Wat is het? | Protocol voor directorytoegang | Volledige directorydienst van Microsoft |
| Ontwikkelaar | IETF (open standaard) | Microsoft |
| Functionaliteit | Alleen toegang/verzoeken op directories | + Group Policy, Kerberos, DNS-integratie |
| Gebruik in OT | Breed toepasbaar in apps met eenvoudige login | Voor domeingebonden werkplekken en GPO’s |
🔐 Beveiligingsaspecten
- Gebruik LDAPS (poort 636) in plaats van plain LDAP om credentials te versleutelen
- Beperk LDAP-toegang tot vertrouwde applicaties via Firewall of ACL
- Implementeer sterke wachtwoorden en MFA via de gekoppelde identiteitssystemen
- Monitor LDAP-query’s via SIEM of directorylogboeken
- Combineer LDAP met RBAC om rollen en groepen centraal te beheren
LDAP zonder encryptie is kwetsbaar voor credential sniffing en moet altijd worden vervangen door LDAPS.
📌 Samengevat
LDAP is een lichtgewicht en krachtig protocol voor directorytoegang, veel gebruikt in hybride IT/OT-omgevingen voor Authenticatie en Toegangsbeheer. In combinatie met Active Directory of andere directoryservices vormt LDAP een betrouwbare basis voor gebruikersbeheer in industriële netwerken.