Как записать строку поиска LDAP, которая будет искать пользователя именем пользователя и паролем?
Если ldap сервер позволил бы Вам запрашивать атрибут (атрибуты) пароля, в зависимости от того, как он сохранил его, могло бы быть трудным записать поисковый фильтр для соответствия для пользовательского пароля. Причина состоит в том, что userPassword приписывают (предполагающий, что это - то, что Вы используете для хранения паролей), может быть снабжен несколькими различными схемами хеширования, и некоторые из тех схем на самом деле требуют, чтобы Вы интерпретировали атрибут userPassword, извлекли соль, использовали соль и пароль, предоставленный пользователем, чтобы генерировать обзор и затем сравнить тот обзор с тем, что хранится в ldap.
OpenLDAP имеет запись часто задаваемых вопросов на SHA/SSHA хеширование схемы здесь, которая также включает некоторый код для проверки по атрибуту userPassword, который использует те схемы. Довольно возможно использовать другие схемы также, я действительно вспоминаю наблюдение MD5 и SMD5, которые были в значительной степени тем же как SSHA/SHA только с другим алгоритмом выборки сообщений.
Однако я рекомендовал бы (если возможный) связать с пользователями dn с паролем, он предоставляется, и позвольте ldap серверу заниматься проблемой проверки username/dn и пароля.
-
1Хорошо спасибо за ясность, вместо того, чтобы связывать с моей системой считает, я просто связывает с каким-либо старым пользователем, надо надеяться, это означает, что какой-либо пользователь использует, чтобы создавать связывание? Однако, если я связывать с каким-либо пользователем, который подразумевать, что я смоги вернуть это пользовательские атрибуты, или я со своей системной учетной записью для получения этой информации после того, как я буду подтверждать аутентификацию через обычного пользователя, связывали? – MetaGuru 28 October 2010 в 22:12
-
2Кто существует ли или не, к сожалению, настраивался, таким образом, в зависимости от Вашей установки я не, позволяет ли она Вам связать или нет. Кроме того, системная учетная запись также - полезна, если было не надежное преобразование от имени пользователя до dn (Т.е. если пользователи должны были структурировать в дереве, и их dn зависеть от того, где в дереве они - и Вы не являетесь сначала на actully, нахожу, что dn может связать agaist). Будут законные случаи для поиска конкретного пользователя и затем проверки хэша пароля самостоятельно, но если Вы не пройдете проверку подлинности, пользователи с не связывают, это может быть много простого решения для Вас. – Kjetil Joergensen 28 October 2010 в 22:20
-
3ах ха, по-видимому, я должен смочь только к BIND пользователь, как Вы говорите, превосходный. Какая-либо идея, как, после того как я делаю связывание, я запрашиваю атрибуты пользователей, собственных сам? – MetaGuru 28 October 2010 в 23:42
При реализации этого в приложение это намного менее сложно для привязки против дерева Ldap, чем предположить, какая схема хеша и соль использовались. Привязка является просто остротой и исключением/проверкой ошибок.
Как @Kjetil говорит, это возможно, но мне, не способу сделать это. При пропавших без вести соли или хеша она могла бы закончиться в ложном отрицании (ясный пароль в порядке, но хеш является неправильным). И кроме того, получить ту информацию необходимо связать так или иначе.
Формат:
LDAP://{your full domain name}/ DC={first name of your domain}, DC={2nd name of your domain} , and so on"
Например:
LDAP://foo.com/ou=Sales,cn=JSavill,dc=foo,dc=com)