我在Ubuntu 11.04上使用OpenLDAP 2.4.23。 每件事情都很好。 我正在使用其他服务器通过LDAP进行身份validation,这是行之有效的。 在连接服务器上,我使用这样的configuration文件:
[ldap] basedn = ou=Employees,dc=example,dc=com basedn_filter = personStatus=1 bind_passwd = pass123 bind_user = cn=admin,dc=example,dc=com cache_size = 100 cache_ttl = 900 enable = true global_perms = false group_bind = false group_rdn = groupattr = cn groupmember = member groupmemberisdn = false groupname = groupofnames #host = ldap.example.com host = 192.168.2.127 manage_groups = false port = 389 有什么办法可以encryption用于绑定到LDAP的密码?
您可以使用SSL(或TLS)来encryptionstream量。 OpenLDAP 2.4手册中有关于使用TLS的章节, OpenLDAP FAQ也是如此 。 Ubuntu 11.04手册中有关于使用TLS / SSL的LDAP部分。 FreeBSD项目(我见过的一些最好的手册的主页)有一篇关于LDAP身份validation的文章 ,其中包括使用TLSconfigurationLDAP的一部分。
我通过Googlesearchfind了这些信息
没有。
明文密码需要绑定到LDAP,所以即使以某种方式encryption,也需要密钥在系统上进行解密(la有一个encryption的SSL密钥并将密码存储到密钥中Web服务器configuration)。 模糊不安全; 以明文forms保留密码的安全性不亚于使用configuration中的密钥进行encryption。
将LDAPconfiguration的权限设置为不可读的,如果系统可能被物理破坏,则使用某种磁盘encryption。
如果您的客户端应用程序允许使用TLS / EXTERNAL身份validation(即:基于x509证书的身份validation),则可以处理明文密码并将其replace为客户端证书。 请注意,服务器需要进行一些configuration更改才能接受SASL TLS / EXTERNAL。