Tut LDAP-bieten ein token nach der Bindung, so dass ich nicht zum senden von Anmeldeinformationen jedes mal?

Ich habe eine web-Anwendung (PHP, aber egal). Es verwendet LDAP für die Authentifizierung (schon Arbeitsgedächtnis), und es ermöglicht Benutzern das durchsuchen des LDAP (funktioniert bereits).

Aber bei der Suche, verwende ich ein generisches Prozess-Konto zu binden (), und führen Sie dann die Suche().

Was ich möchte, ist die Verwendung des LDAP-Konto anmeldet, werden dem gleichen Konto, das bindet für die Suche. Aber der einzige Weg, ich sehe das zu tun ist, speichern Sie die Anmeldeinformationen des Benutzers in den Sitzungen (schlecht!).

Punkt gebracht: kann ich einen "Staat/session/??" Tokens from LDAP, bind() und suchen() auf nachfolgende http-Anforderungen?

(btw, mithilfe von Active Directory.)

InformationsquelleAutor Lance Rushing | 2009-09-28
  1. 6

    Basic LDAP nicht bieten so etwas. Die Anmeldeinformationen, die Sie beim binden verwendet werden, für den rest der Verbindung, so dass, wenn Sie halten konnte eine LDAP-Verbindung öffnen Sie über mehrere HTTP-Anfragen (und teilen LDAP-verbindungen unter jedoch viele server-Aufträge, die Sie laufen haben), dann könnte man vermeiden das speichern von Anmeldeinformationen.

    Gibt es verschiedene Erweiterungen für LDAP-Umlauf (darunter mehrere in Active Directory), so ist es möglich, dass einer von denen fügt Sitzungen-quer-verbindungen, aber wenn es so ist, ich bin mir nicht bewusst es.

    Als eine Art-der-workaround, da die Active Directory unterstützt GSSAPI und weil, wie Kerberos funktioniert, sollten Sie in der Lage sein, um die Anmeldeinformationen des Benutzers verwenden, um anzufordern, ein Kerberos-ticket für den Zugriff auf LDAP speichern Sie das ticket als "state/session/??" token. Dieses Kerberos-ticket ist nur gültig für den Zugriff auf LDAP-und würde automatisch ablaufen, so würde dies vermeiden Sie die Fallstricke der Speicherung der Benutzerdaten in der session. Ich weiß nicht, ob Ihr LDAP-Bibliothek unterstützt GSSAPI und würde Ihnen genug Kontrolle, um dies zu tun oder nicht.

    • Die authentifizierte Identität ist nicht verwendet für den "rest der Verbindung", die authentifizierte Identität ist für die Verbindung verwendet, bis die nächsten BINDEN, auf die Verbindung, unter der Annahme, dass LDAPv3 verwendet wird.
    InformationsquelleAutor Josh Kelley
Schreibe einen Kommentar