LDAP認証のユーザー名とパスワード

Question

クライアントがシングルサインオン（SSO）のLDAP認証をサポートするかどうかを尋ねました。私は周りを知り、LDAPについて少し学んだ。

しかし、アプリとして私に与えられるいくつかの資格でbind操作を実行してから、ログインしようとしたユーザーを探すべきかどうか分かりません。またはbindをユーザーが私たちのアプリケーションからログインしようとする資格情報と資格情報が有効である限り、私はそのユーザーがログインしていると考えます。

ありがとうございます。

Answer 1

それは3つの段階で行われています：ディレクトリを検索するための十分な権限を持つ管理ユーザーとして

1. バインド。
2. ユーザーのディレクトリを検索します。これは、ユーザーが自分のDN全体を提供しないために必要です。自分のメールアドレス、「スクリーン名」/モニカ/エイリアスなど、自分自身について独自のものを提供します。
3. 指定されたパスワード認証情報

このうちいずれかが失敗した場合（2）、ログインに失敗し、ユーザーに「そのようなユーザーはいない」または「無効なパスワード」とは言わない'あなたは彼に両方に対して「無効な資格情報」または同様のことを伝えるだけです。それ以外の場合は、情報を攻撃者に漏らしています。