OpenLdap密码

Question

我在Ubuntu11.04上使用OpenLDAP 2.4.23。每件事都很正常。我正在使用其他服务器通过LDAP进行身份验证，而且运行良好。在连接服务器上，我使用的配置文件如下所示：

[ldap]
basedn = ou=Employees,dc=example,dc=com
basedn_filter = personStatus=1
bind_passwd = pass123
bind_user = cn=admin,dc=example,dc=com
cache_size = 100
cache_ttl = 900
enable = true
global_perms = false
group_bind = false
group_rdn =
groupattr = cn
groupmember = member
groupmemberisdn = false
groupname = groupofnames
#host = ldap.example.com
host = 192.168.2.127
manage_groups = false
port = 389

有任何方法可以加密用于绑定到LDAP的密码吗？

Answer 1

您可以使用SSL (或TLS)加密通信量。OpenLDAP 2.4手册中有一个关于使用TLS的章节，OpenLDAP常见问题也是如此。Ubuntu11.04手册有一个关于LDAP的章节，其中包括使用TLS/SSL。FreeBSD项目(我看过一些最好的手册)有一个文章 on LDAP认证，其中包括一个关于用TLS配置LDAP的部分。

我通过谷歌搜索找到了这个信息..。

Answer 2

不是的。

明文密码需要绑定到LDAP，因此即使以某种方式加密，也需要在系统上解密它(一个具有加密SSL密钥并将密码存储到web服务器配置中的密钥的la )。默默无闻并不是安全；将密码保留在明文中的安全性不亚于用配置中的密钥加密密码。

将LDAP配置上的权限设置为不可读，如果系统可能受到物理危害，则使用某种类型的磁盘加密。

Answer 3

如果您的客户端应用程序允许TLS/外部身份验证(即:基于x509证书的身份验证)，那么您就可以释放明文密码，并将其替换为客户端证书。请注意，服务器需要进行一些配置更改才能接受SASL、TLS/EXTERNAL。