是否可以在对 LDAP 或 Active Directory 的应用程序请求中包含用户 IP?

是否可以在对 LDAP 或 Active Directory 的应用程序请求中包含用户 IP?

鉴于以下标准工作流程:

  1. 用户向应用程序(即网络邮件)提供用户名和密码。
  2. 该应用程序根据 LDAP 或 AD 对用户进行身份验证。
  3. LDAP 或 AD 记录身份验证尝试,包括请求的来源,显示为应用程序 IP。

是否可以将用户的 IP 包含在 LDAP 或 AD 请求中,这样它最终会出现在 LDAP 或 AD 身份验证日志条目中?要么:附加信息,要么替换应用程序 IP?

答案1

我相当肯定,这不能按照要求用 AD 来实现。但是,没有什么可以阻止应用程序本身将用户的 IP 记录在文本日志或其自己的 Windows 应用程序事件日志中(假设您对应用程序有一定程度的代码控制),然后可以将其与 AD 日志相关联,假设您的服务器的计时是同步的。

对于通用/未定义的 LDAP,这是一个更难具体回答的问题,但我认为它与 AD 答案类似。当然,如果您有权访问应用程序和 LDAP 服务器的代码,则可以传递和记录您想要的任何信息。

如果您无法访问应用程序的代码,并且现在没有记录信息的选项,那么您就无能为力了。当然,如果您控制防火墙或路由器,您也可以记录此信息,只要用户名以纯文本形式传递以供网络查看即可。

相关内容