我多次在基于 LDAP 的应用程序中集成身份验证。
我只是将配置: URL(如 ldap.company.com:389
)、搜索库(如 dc=europe,dc=com
)和查询模式(如 (uid=$)
)放入库和框架。
但我总是想知道库和框架真正通过提供的登录名/密码对用户进行身份验证。
似乎 LDAP 本身具有三种身份验证类型 - 匿名、纯密码和 SASL。因此,有时为了进行身份验证,您需要应用程序登录名/密码才能访问 LDAP 服务。
我不确定这个博客是否回答了这个问题:http://thecarlhall.wordpress.com/2011/01/04/ldap-authentication-authorization-dissected-and-digested/ :
是对的吗?
这可以概括为(作为命令行中的实验):
$ ldapsearch -x -h ldap.company.com -s sub -b 'dc=europe,dc=com' "uid=XYZ"
....
dn: uid=XYZ,dc=sales,dc=europe,dc=com
...
$ ldapsearch -W -h ldap.company.com -D 'uid=XYZ,dc=sales,dc=europe,dc=com' \
-s sub -b 'dc=europe,dc=com' "uid=XYZ"
是否有任何其他身份验证模式,例如使用特定 DN 属性值作为用户密码?或
userPassword
那是属性本身吗?
最佳答案
你的四个步骤基本正确。 SASL 是一种外部身份验证机制,其中身份验证“移交”给 SASL 机制。 RFC 4513说明身份验证和安全机制。
-吉姆
关于authentication - 身份验证是如何建立在 LDAP 上的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27571558/