Spring Security LDAP 如何在 Active Directory 身份验证期间保护密码？

Question

参考 class org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider，用于在我们所有的网络应用程序中执行 Active Directory 身份验证，我们的客户问我以下问题，这让我产生了疑问：

What is the security protocol used during authentication – LDAP SSL / NTLM / KERBEROS ? If you are just using LDAP and not LDAPS (secure LDAP) then it would be a concern as we would then be transmitting credentials in clear text between the web server and Active Directory.

示例配置：

    <b:bean id="adAuthenticationProvider"
        class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
        <b:constructor-arg value="${ldap.domain}" />
        <b:constructor-arg value="${ldap.url}" />
        <b:property name="userDetailsContextMapper" ref="adUserDetailsContextMapper" />
        <b:property name="convertSubErrorCodesToExceptions" value="false" />
    </b:bean>

现在想想，我的开发团队中没有人关心过 AD 密码的安全性（我们的大多数客户甚至不强制执行 SSL）。

我找不到关于 Spring 文档的参考。 Spring 安全 LDAP 版本为 3.2.5

有人知道 if 和 如何 Spring LDAP 在针对 Active Directory 进行身份验证时保护密码吗？

Answer 1

Wireshark 表示使用这些设置 明文 发送密码