我尝试在用户输入登录名和密码后将其加密存储,这样当他们登录到我们的终端服务器时,就不必输入用户名和密码。它将通过 LDAP 输入。
答案1
我很难理解你的问题。进一步解释一下你想要实现的目标会很有帮助。
我假设您说的“终端服务器”是指提供远程桌面服务的 Windows Server。如果是这样,为什么不使用 Windows 中内置的单点登录功能——即将服务器计算机加入 Active Directory (AD) 域。
我可以告诉你,现有的 AD 部署不会存储任何明文密码。你也无法通过 LDAP 从 AD 查询存储的密码哈希值。从安全角度来看,在 AD 中存储明文密码(微软称之为“可逆加密”)不是一个好主意。
一般来说,你真的不应该编写存储用户凭证的软件。如果你需要单点登录功能,你应该考虑使用 Kerberos 之类的东西或 SAML 之类的联合身份验证机制。