我们是 LDAP 服务器的新手。
我们能够使用密码策略配置 ldap 服务器,例如
- 帐户锁定
- 密码错误
- 密码已过期
- 5次错误验证
- 新密码不能是旧密码(密码历史5)
但是我们有一个问题,对于所有抛出的验证,LDAP 服务器不会抛出区域验证。我们需要不同的验证。
例如,根据连续验证失败的次数显示不同的消息。此外,如果任何帐户被锁定,则需要可识别的标志来显示帐户已被锁定的消息。
如何区别地识别它们?
我们需要在 LDAP 上设置一个 GUI,它会针对给定的验证或标记提示适当的消息。提示:生成验证时会保存日志。
建议:在保存日志的同时,我们是否可以提供/广播适当的验证
答案1
简单地说,通过常规的旧 LDAP 是不可能的。
原因是,对于前四种情况,根据 LDAP RFC(4511),您只会收到错误代码 49(表示凭据无效),在最后一种情况下,您会收到错误代码 53(表示操作不受支持)。
该协议根本不允许您解释身份验证失败的原因,而只允许您解释身份验证失败了。
部分原因是为了安全——这样,攻击者只会得到登录失败的信息,而不会得到表明为什么他们失败了,这将迫使他们改变策略。
如果您确实想要不同的错误,则需要客户端和 LDAP 服务器之间的某种中间件来处理这种逻辑,但我强烈建议您如果可以避免的话不要采用这种方法。
答案2
查找了很多资料后,终于在网上找到了一个快速的解决方案。 基本上,在身份验证失败后立即发送第二个呼叫即可完成工作 - 感谢 Ricky Poderi