Web客户端和LDAP在哪里进行哈希处理
[英]Where does hashing take place with a webclient and LDAP
问题描述
当前,我们正在实现一些Web应用程序,要求用户创建将通过LDAP调用进行身份验证的用户登录名。 LDAP服务器和用户帐户将由所有应用程序共享,并且所有应用程序中的用户凭据均相同。
我的问题是,散列在标准LDAP方案中是在客户端发生的,还是在LDAP服务器中进行的。 据我了解,LDAP服务器在创建时会输入用户密码,并对其进行哈希处理和存储。 (通过我们计划在客户端> Web服务器> LDAp服务器之间使用盐分SHA512哈希和SSL连接)
据我了解,散列操作集中在LDAP服务器上进行,从而减轻了客户端的麻烦,并避免了客户端的任何中断而影响其他应用程序。
1 个解决方案
解决方案1
0 已采纳 2012-06-16 10:28:30
现代,专业质量的服务器使用存储方案来存储密码属性(通常是userPassword和authPassword ),这些属性涉及在服务器上执行哈希。 服务器通常将唯一值(称为“盐”)附加或添加在密码之前,然后执行哈希函数。 “盐”最大程度地减少了字典攻击的效率,也就是说,很难为盐化的哈希密码创建字典。
应该使用SSL(安全连接),或者应该使用StartTLS扩展请求来提升非安全连接。 应该使用加密连接,以便可以通过BIND请求以明文方式传输密码。 通过服务器的密码策略实施机制,可以检查通过安全连接以明文方式传输的密码的历史记录和质量。 对于强制执行密码历史记录和质量检查的服务器,不应以预先编码的方式传输密码。 因此,这并不是LDAP客户端的“麻烦”,而是服务器可以在中央位置实施组织范围内和商定的密码质量和历史记录检查这一事实。
也可以看看
现有的 LDAP 正在停用,AD 将取而代之,jenkins 用户组将如何受到影响
[英]Existing LDAP is being de-commissioned, and AD will take its place, how would the jenkins user groups be effected
Python ldap 模块是否支持 LDAP 通道绑定和 LDAP 签名
[英]Does Python ldap module support LDAP channel binding and LDAP signing
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.