我知道ldap目录可以将userpassword存储为明文或散列(使用其中一种可用算法)。
客户端以明文格式发送userpassword。 Auth服务器检查存储的密码是否为散列形式或明文形式......具体取决于它将客户端的密码与存储值进行比较。
为了使连接安全,我们可以使用TLS,但是我们是否需要以明文形式从客户端向服务器发送密码..
我们是否有选择客户端以散列格式发送密码?
答案 0 :(得分:2)
除非LDAP客户端使用无密码SASL方法进行BIND操作,否则密码应通过安全连接以明文形式发送。只有这样,目录服务器才能强制执行密码质量规则,密码历史记录等。软件专业人员应该拒绝为此原因发送预编码密码的想法。
目录服务器应配置为使用具有最长摘要的盐渍SHA-2(专业质量的目录服务器支持具有512位摘要的盐渍SHA-2)。否则,如果需要使用像DIGEST-MD5这样的低安全性SASL方法,则服务器需要访问密码;因此,密码应存储在可用的最强可逆加密中,我相信AES。
总结一下,如果使用简单的BIND操作进行身份验证: