我在做什么...
尝试为我们组织的所有机器、博客、wiki、CRM、HRM、项目管理工具、SVN 等实现单点登录……
我们在运行 CentOS 的专用服务器上安装和配置了 OpenLDAP。我使用 phpLdapAdmin 添加有关各种用户、客户端、资源的组织结构和信息。
用户的示例条目...
DN 是 ::cn=Bill Gates, ou=users, dc=example, dc=com
用户名 :: bill.gates
邮件 :: [email protected]
userpassword :: as2%$%66789ds(一些 md5 神秘值)
我现在在哪里...
OpenLDdap 工作正常。绑定测试也成功运行。
我想做的事...
使用更高权限的用户绑定,然后通过输入的用户ID或邮件搜索用户,这与CN略有不同。重点是我想根据不属于 RDN 的属性对用户进行身份验证。
我被困在哪里...
- 我无法使用用户 ID 进行绑定,因为它不是 DN 的一部分。这一般允许吗?
- 我可以使用不同的 LDAP 用户(例如高权限用户)进行绑定,然后执行 ldap_search 以根据过滤器 userId 获取唯一记录,但随后用户输入密码的 md5 与 userPassword 字段不匹配。OpenDLdap 使用一些盐进行加密。我也不想除盐。有什么出路吗?
我的问题(最后)
- 我们可以对不属于 RDN 的属性执行 ldap_bind 吗?
- 我们可以向 OpenLDAP 服务器发送一个未加密的密码(我将使用 HTTPS 隧道来保证安全)并要求 OpenLDAP 加密并检查用户密码字段吗?这通常是我们在所有网络应用程序中所做的,对吧?
- (题外话)用户 ID 可以包含 . (点)和空格。我们需要在“First Name(givenName)”和“Last Name(sn)”之间添加一些字符。哪一个是安全字符?我的意思是世界上所有(或大多数)应用程序在用户名中允许使用哪个非 aplha 数字字符?
我最大的担忧是采用一种可以很容易地与大多数应用程序一起使用的方法。在我们的任务单点登录期间,我们将修改许多基于 Web 的应用程序、桌面软件等!
感谢您阅读...并提前感谢您的帮助!
-拉胡尔
关于第一个问题:
我使用过另一个允许针对各种用户属性“登录”的 LDAP 系统。解决方案是做两个连接。第一个连接(可能是匿名绑定)使用用户提供的信息查询 LDAP 以定位其用户对象的 RDN。第二个连接尝试使用发现的 RDN 和提供的密码绑定密码。这是一个两步过程,并且有效。
但是,如果这个应用程序要获得大量具有非 RDN 本身提供的属性的登录,那么索引这些属性将是一个真正的好主意。这是一个性能问题。
二:
据我所知,OpenLDAP 支持 LDAP-SSL (TCP/636),这可能是比 HTTPS 隧道更好的路由。默认情况下,LDAP 绑定是明确的,但有允许其他方法的 LDAP 扩展。例如,Active Directory 允许 NTLM LDAP 绑定,而且我很确定 LDAP 在某些时候也已经过 kerberized。我不知道 openLDAP 支持哪些方法。
三:
我的 LDAP 源在属性中具有“[email protected]”格式的电子邮件。更冒险的地方在于命名属性,这就是我的 openLDAP 经验平淡无奇的地方。我不知道它支持什么。我知道 Active Directory 允许在命名属性中使用空格,而 Novell eDirectory 允许空格和句点(尽管不建议这样做)。通常,命名属性是用户 ID,而 givenName、surname、emailAddress 等属性包含特殊字符。由于它们没有命名属性,因此它们没有相同的限制。
恐怕我对 OpenLDAP 不够了解,无法专门帮助它,但我想知道它是否具有类似于 OpenDS 的身份映射功能的功能,您可以使用它。
这个想法是客户端可以使用自定义身份标识自己,然后映射使用正则表达式将其与用户条目上的任何其他属性匹配。在 OpenDS 中,这似乎使用了 SASL 选项,因此使用他们的工具,我可以提供以下选项:
然后身份映射器使用身份验证 ID,在这种情况下,身份映射器与我的用户条目上的 uid 属性匹配。
希望有帮助!