与LDAP同步时如何保证数据库中存储的admin密码的安全
How to ensure the security of admin password stored in database for synchronization with LDAP
我有一个应用程序需要定期同步到我的目录服务(OpenLDAP 或 AD)。
为此,需要绑定一个管理员帐户和一个DN和 密码,以访问 LDAP 上的用户。
据我了解,可以使用anonymous,但出于安全原因,不建议使用。
由于此定期同步是由例程自动完成的(每小时),除了帐户 DN 之外,我还需要在应用程序数据库中存储管理员密码。
但是,密码通常以明文形式发送以供验证
目录服务(在安全的 SSL / TLS 连接中)和目录服务本身发现其密码存储在明文或一些散列(md5、sha-1 等)
如何保证admin密码存储在数据库中与LDAP同步的安全性?或者,是否有使用 LDAP 实现定期同步的最佳实践?
需要密码 (admin) 才能读取 LDAP 的应用示例。
- Moodle
(https://docs.moodle.org/37/en/LDAP_authentication#Bind_settings)
- Sugar CRM (https://support.sugarcrm.com/Knowledge_Base/Password_Management/Configuring_LDAP_Authentication_Using_Active_Directory/#Prerequisites)
但不清楚密码是如何存储的。
确实在 Active Directory 中默认禁用匿名绑定。但是,如果您只是阅读,则不需要 "admin" 帐户。您需要任何 帐户。该帐户不需要任何特殊权限。您只需要可以对域进行身份验证的东西。
但是如果您要对用户进行身份验证,那么您将需要获取用户的密码,并且您可以只使用用户的凭据从 LDAP 读取。对于 AD 和 OpenLDAP 都是如此。
我有一个应用程序需要定期同步到我的目录服务(OpenLDAP 或 AD)。
为此,需要绑定一个管理员帐户和一个DN和 密码,以访问 LDAP 上的用户。
据我了解,可以使用anonymous,但出于安全原因,不建议使用。
由于此定期同步是由例程自动完成的(每小时),除了帐户 DN 之外,我还需要在应用程序数据库中存储管理员密码。
但是,密码通常以明文形式发送以供验证 目录服务(在安全的 SSL / TLS 连接中)和目录服务本身发现其密码存储在明文或一些散列(md5、sha-1 等)
如何保证admin密码存储在数据库中与LDAP同步的安全性?或者,是否有使用 LDAP 实现定期同步的最佳实践?
需要密码 (admin) 才能读取 LDAP 的应用示例。
- Moodle (https://docs.moodle.org/37/en/LDAP_authentication#Bind_settings)
- Sugar CRM (https://support.sugarcrm.com/Knowledge_Base/Password_Management/Configuring_LDAP_Authentication_Using_Active_Directory/#Prerequisites)
但不清楚密码是如何存储的。
确实在 Active Directory 中默认禁用匿名绑定。但是,如果您只是阅读,则不需要 "admin" 帐户。您需要任何 帐户。该帐户不需要任何特殊权限。您只需要可以对域进行身份验证的东西。
但是如果您要对用户进行身份验证,那么您将需要获取用户的密码,并且您可以只使用用户的凭据从 LDAP 读取。对于 AD 和 OpenLDAP 都是如此。