我如何对 LDAP 数据进行数字签名？

Question 1

大多数启用 LDAP 的应用程序都支持安全 LDAP，它基本上是通过 TLS 实现的 LDAP。应用程序应该检查签名并报告任何问题。这将防止代理进行修改。您没有说您使用的应用程序是 COTS 应用程序还是您手动编写的应用程序？

Answer

大多数启用 LDAP 的应用程序都支持安全 LDAP，它基本上是通过 TLS 实现的 LDAP。应用程序应该检查签名并报告任何问题。这将防止代理进行修改。您没有说您使用的应用程序是 COTS 应用程序还是您手动编写的应用程序？

Question 2

我不知道有任何现成的标准方法可以做到这一点。如果代理是一个简单的 TCP 代理，它只转发数据包并重写 TCP 标头的部分内容，那么 SSL 就可以工作，在这种情况下，SSL 会话实际上由实际的 LDAP 服务器终止。另一方面，如果代理比这更智能，那么 SSL 会话将与代理服务器终止，您将失去不可否认性。

后一种情况更难解决，而且没有标准。一种方法是构建您的系统，使其使用自定义编写的 LDAP 扩展，或者可能只是 LDAP 数据库中的自定义属性，当查询时返回从返回的语句生成的校验和。这将允许检测恶意代理。或者，如果您需要更具体的不可否认性，请基于某种预共享密钥而不是校验和生成值。不幸的是，您可能必须对 LDAP 服务器进行一些更改。

Answer

我不知道有任何现成的标准方法可以做到这一点。如果代理是一个简单的 TCP 代理，它只转发数据包并重写 TCP 标头的部分内容，那么 SSL 就可以工作，在这种情况下，SSL 会话实际上由实际的 LDAP 服务器终止。另一方面，如果代理比这更智能，那么 SSL 会话将与代理服务器终止，您将失去不可否认性。

后一种情况更难解决，而且没有标准。一种方法是构建您的系统，使其使用自定义编写的 LDAP 扩展，或者可能只是 LDAP 数据库中的自定义属性，当查询时返回从返回的语句生成的校验和。这将允许检测恶意代理。或者，如果您需要更具体的不可否认性，请基于某种预共享密钥而不是校验和生成值。不幸的是，您可能必须对 LDAP 服务器进行一些更改。

我如何对 LDAP 数据进行数字签名？

答案1

答案2

相关内容