Где происходит хеширование с помощью веб-клиента и LDAP?
В настоящее время мы внедряем несколько веб-приложений, которые требуют от пользователя создания имени пользователя, которое будет аутентифицировано с помощью вызовов LDAP. Сервер LDAP и учетные записи пользователей будут совместно использоваться всеми приложениями, а учетные данные пользователя будут одинаковыми для всех приложений.
Мой вопрос заключается в том, где происходит хеширование в стандартном сценарии LDAP на стороне клиента или об этом заботится сервер LDAP. Насколько я понимаю, сервер LDAP принимает пароль пользователя во время создания, хэширует и сохраняет его. (Кстати, мы планируем использовать соленое хеширование SHA512 и SSL-соединения между клиентом> веб-сервером> сервером LDAp)
Насколько я понимаю, операция хеширования происходит централизованно на сервере LDAP, избавляя клиента от проблем и избегая любых поломок на стороне клиента, влияющих на другие приложения.
1 ответ
Современные серверы профессионального качества используют схемы хранения для атрибутов паролей (обычно userPassword а также authPassword) которые включают выполнение хэша на сервере. Серверы обычно добавляют или добавляют к паролю уникальное значение (называемое солью), а затем выполняют хэш-функцию. "Соль" сводит к минимуму эффективность атак по словарю, то есть словари сложнее создавать для соленых хэшированных паролей.
Следует использовать SSL (безопасное соединение) или небезопасное соединение с помощью расширенного запроса StartTLS. Зашифрованное соединение должно использоваться для того, чтобы пароли могли быть переданы в открытом виде с запросами BIND. Пароли, которые передаются в незашифрованном виде по защищенному соединению, могут быть проверены на предмет истории и качества с помощью механизмов применения политики паролей серверов. Для серверов, которые обеспечивают проверку истории паролей и качества, пароли не должны передаваться в предварительно закодированном виде. Таким образом, это не столько "проблема" для клиента LDAP, сколько тот факт, что сервер может обеспечить централизованное размещение проверок качества и истории паролей в масштабе всей организации и согласованных проверок.