我们希望将我们的服务与 LDAP 集成,但由于硬件限制,我们只允许 4 位数字的用户 ID 和密码。
执行此类身份验证的最佳做法是什么?
我们考虑过将用户 ID 和 PIN 属性添加到 LDAP 用户架构中,但我们不确定人们是否乐意修改他们的架构来与我们的服务交互。PIN 属性必须具有与本机用户密码相同的支持。(散列和加盐等)
更新
另一个考虑因素是 ldap_bind 如何在这种场景下工作。我们如何让它使用替代身份验证方法?这甚至可以在不影响使用同一 LDAP 服务器的其他服务的情况下完成吗?
答案1
您不应该修改 LDAP 用户模式,而应该在 下创建您自己的模式定义/etc/openldap/schema/yourservice.schema。
你应该使用以下方式为你的组织获取一个唯一的 OID此表格可在 IANA 上查看 对于语法属性,请记住数字字符串具有 OID 1.3.6.1.4.1.1466.115.121.1.36,并且如果添加限制值,则它是下限而不是限制。