我相信我已经知道了答案,但想发帖,看看是否有人有任何额外的想法。当前代码在将密码发送到Web服务之前对密码进行哈希处理(MD5,SHA1,在这种情况下是无关紧要的)。 Web服务使用散列密码并将其与散列的数据库进行比较。我们希望为AD提供类似的功能,但实际上并不希望以明文形式将密码发送到服务。 SSL也在环境中,我们可以使用某种二进制编码来帮助,但我很好奇目录服务类中是否有任何功能可以在登录模拟期间将AD密码与散列值进行比较。我的怀疑是否定的。
感谢。
答案 0 :(得分:0)
我不知道如何使用LDAP,但可以使用Kerberos完成。一个很好的起点是technet上的Kerberos Authentication Technical Reference。
您可能还想查看Logon and Authentication Technologies,这是一篇父文章,并列出了一系列针对AD进行身份验证的方法,我不熟悉这些方法。
答案 1 :(得分:0)
大多数LDAP实现,但可能不是AD,支持http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer,这可能对您有用。
使用TLS / SSL和简单绑定与解决方案一样安全,因为密码永远不会以明文形式暴露在线路上。
-Jim