1. дома
  2. Вопрос и ответ
  3. Используйте электронную почту и пароль для аутентификации пользователя в LDAP

Используйте электронную почту и пароль для аутентификации пользователя в LDAP

2017-01-20 4 views
0

Я новичок в LDAP, и я работаю над приложением, использующим LDAP для аутентификации. Есть ли способ аутентифицировать пользователя в LDAP, используя адрес электронной почты & пароль? или я могу это сделать только:Используйте электронную почту и пароль для аутентификации пользователя в LDAP

  1. Получить DN пользователя по данному письму.
  2. Связать пользователя с DN & пароль.

Есть ли опция конфигурации, которая позволяет LDAP использовать другие поля для аутентификации пользователя?

источник

2017-01-20 leecode

+1

Вы должны следовать двум указанным вами шагам. – EJP

+0

@ EJP, ОК, большое спасибо. – leecode

+0

Для связывания вам нужно имя пользователя и пароль, связанные с ним. Так что это не один атрибут. Вот почему вам нужно 2 шага. Сначала найдите DN, используя электронную почту, а затем используйте это имя для входа в систему. Некоторые каталоги (например, AD) позволяют использовать адрес электронной почты. Но это НЕ ldap! – heiglandreas

ответ

-1

Если вы планируете использовать приложение для использования службы каталогов в качестве внешнего хранилища пользователей, добро пожаловать в мир приложений с поддержкой каталогов. Для вашего приложения не обязательно устанавливать сеанс LDAP для пользователя. Обычно у вас будет учетная запись службы, которую ваше приложение будет использовать для установки сеанса LDAP с помощью службы каталогов. Когда пользователь входит в ваше приложение, ваш модуль аутентификации будет искать пользовательскую запись с использованием некоторого уникального атрибута (uid, mail, ...), поэтому может быть выполнена простая проверка подлинности (сравнение хэшей паролей).

Это очень зависит от вашей инфраструктуры.

EDIT: Spring Security относится к этой методике как аутентификация для сравнения паролей.

источник

2017-01-20 09:55:03 marabu

+0

№. Приложение должно попытаться связать пользователя, посмотрев его. Сервер LDAP - это тот, который проверяет пароль и делает что-либо элементовое, связанное с привязкой. Вот для чего это. Кроме того, у сервера нет возможности проверить срок действия пароля, блокировку учетной записи, пароль должен быть сброшен, слишком много сбоев пароля и т. Д. – EJP

+0

Учетные записи пользователей в моем каталоге LDAP (~ 200k, а не AD) в основном предоставляются из метакаталога, некоторые из них самообслуживаются. Ни один из них не имеет BIND в соответствии с моими файлами журналов, появляются только учетные записи служб. Кажется, что наши консультанты SAP так любят. Пожалуй, это один из способов сделать это, и ИТ-безопасность, похоже, одобрена. Имейте в виду, что соединения дороги, правильно проведенные поиски дешевы. Должен ли я беспокоиться? ;-) – marabu

+0

У вас есть точка с политикой. На моем сайте это не нужно, все отличные функции реализованы модулем аутентификации, который использует мой каталог в качестве хранилища пользователей. Это зависит, как я уже сказал. Я уверен, что смогу увеличить мою топологию репликации, чтобы справиться с тысячами коротких сеансов пользователя, но пока мне это не нужно. Реализация должна соответствовать требованиям анализа требований. Мы здесь не консультируемся, это больше похоже на идею рыбалки. – marabu

Смежные вопросы

 Смежные вопросы