我在 Ubuntu 11.04 上使用 OpenLDAP 2.4.23。一切运行正常。我正在使用其他服务器通过 LDAP 进行身份验证,并且运行良好。在连接服务器上,我使用如下配置文件:
[ldap]
basedn = ou=Employees,dc=example,dc=com
basedn_filter = personStatus=1
bind_passwd = pass123
bind_user = cn=admin,dc=example,dc=com
cache_size = 100
cache_ttl = 900
enable = true
global_perms = false
group_bind = false
group_rdn =
groupattr = cn
groupmember = member
groupmemberisdn = false
groupname = groupofnames
#host = ldap.example.com
host = 192.168.2.127
manage_groups = false
port = 389
有什么方法可以加密用于绑定到 LDAP 的密码吗?
答案1
您可以使用 SSL(或 TLS)加密流量。OpenLDAP 2.4 手册有一节关于使用 TLS,就像OpenLDAP 常见问题解答Ubuntu 11.04 手册中有关于LDAP其中包括使用 TLS/SSL。FreeBSD 项目(我见过的一些最好的手册的所在地)有一个文章在LDAP 身份验证其中包括使用 TLS 配置 LDAP 的部分。
我通过 Google 搜索找到了这些信息...
答案2
不。
需要明文密码才能绑定到 LDAP,因此即使密码以某种方式加密,您也需要密钥才能在系统上解密(例如,拥有加密的 SSL 密钥并将密钥的密码存储在 Web 服务器配置中)。隐蔽性不是安全性;将密码保留为明文并不比使用配置中的密钥加密密码更不安全。
将 LDAP 配置上的权限设置为不可读,如果系统可能受到物理损害,则使用某种磁盘加密。
答案3
如果您的客户端应用程序允许 TLS/EXTERNAL 身份验证(即:基于 x509 证书),那么您可以丢弃明文密码并用客户端证书替换它。请注意,服务器需要进行一些配置更改才能接受 SASL TLS/EXTERNAL。