0
參考org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider類,用來執行在我們所有的Web應用程序的Active Directory身份驗證,我一直在問我們的客戶以下問題,這對我的疑問:在Active Directory身份驗證期間,Spring Security LDAP如何保護密碼?
什麼是過程中使用的安全協議認證 - LDAP SSL/NTLM/KERBEROS? 如果您只是使用LDAP而不是LDAPS(安全LDAP),那麼這將是一個問題,因爲我們將在Web服務器和Active Directory之間以明文形式傳輸憑證。
示例配置:
<b:bean id="adAuthenticationProvider"
class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
<b:constructor-arg value="${ldap.domain}" />
<b:constructor-arg value="${ldap.url}" />
<b:property name="userDetailsContextMapper" ref="adUserDetailsContextMapper" />
<b:property name="convertSubErrorCodesToExceptions" value="false" />
</b:bean>
現在想起來,我們都不在我的開發團隊曾經關心過AD密碼的安全性(我們的大多數客戶甚至不執行SSL) 。
我找不到有關Spring文檔的參考。 Spring Security的LDAP版本是3.2.5
是否有人知道如果和對Active Directory進行身份驗證時春LDAP如何保護密碼?