0
参考org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider类,用来执行在我们所有的Web应用程序的Active Directory身份验证,我一直在问我们的客户以下问题,这对我的疑问:在Active Directory身份验证期间,Spring Security LDAP如何保护密码?
什么是过程中使用的安全协议认证 - LDAP SSL/NTLM/KERBEROS? 如果您只是使用LDAP而不是LDAPS(安全LDAP),那么这将是一个问题,因为我们将在Web服务器和Active Directory之间以明文形式传输凭证。
示例配置:
<b:bean id="adAuthenticationProvider"
class="org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider">
<b:constructor-arg value="${ldap.domain}" />
<b:constructor-arg value="${ldap.url}" />
<b:property name="userDetailsContextMapper" ref="adUserDetailsContextMapper" />
<b:property name="convertSubErrorCodesToExceptions" value="false" />
</b:bean>
现在想起来,我们都不在我的开发团队曾经关心过AD密码的安全性(我们的大多数客户甚至不执行SSL) 。
我找不到有关Spring文档的参考。 Spring Security的LDAP版本是3.2.5
是否有人知道如果和对Active Directory进行身份验证时春LDAP如何保护密码?