Web客戶端和LDAP在哪里進行哈希處理
[英]Where does hashing take place with a webclient and LDAP
問題描述
當前,我們正在實現一些Web應用程序,要求用戶創建將通過LDAP調用進行身份驗證的用戶登錄名。 LDAP服務器和用戶帳戶將由所有應用程序共享,並且所有應用程序中的用戶憑據均相同。
我的問題是,散列在標准LDAP方案中是在客戶端發生的,還是在LDAP服務器中進行的。 據我了解,LDAP服務器在創建時會輸入用戶密碼,並對其進行哈希處理和存儲。 (通過我們計划在客戶端> Web服務器> LDAp服務器之間使用鹽分SHA512哈希和SSL連接)
據我了解,散列操作集中在LDAP服務器上進行,從而減輕了客戶端的麻煩,並避免了客戶端的任何中斷而影響其他應用程序。
1 個解決方案
解決方案1
0 已采納 2012-06-16 10:28:30
現代,專業質量的服務器使用存儲方案來存儲密碼屬性(通常是userPassword和authPassword ),這些屬性涉及在服務器上執行哈希。 服務器通常將唯一值(稱為“鹽”)附加或添加在密碼之前,然后執行哈希函數。 “鹽”最大程度地減少了字典攻擊的效率,也就是說,很難為鹽化的哈希密碼創建字典。
應該使用SSL(安全連接),或者應該使用StartTLS擴展請求來提升非安全連接。 應該使用加密連接,以便可以通過BIND請求以明文方式傳輸密碼。 通過服務器的密碼策略實施機制,可以檢查通過安全連接以明文方式傳輸的密碼的歷史記錄和質量。 對於強制執行密碼歷史記錄和質量檢查的服務器,不應以預先編碼的方式傳輸密碼。 因此,這並不是LDAP客戶端的“麻煩”,而是服務器可以在中央位置實施組織范圍內和商定的密碼質量和歷史記錄檢查這一事實。
也可以看看
現有的 LDAP 正在停用,AD 將取而代之,jenkins 用戶組將如何受到影響
[英]Existing LDAP is being de-commissioned, and AD will take its place, how would the jenkins user groups be effected
Python ldap 模塊是否支持 LDAP 通道綁定和 LDAP 簽名
[英]Does Python ldap module support LDAP channel binding and LDAP signing
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.