LDAP认证方式

TIME:2019-03-15   click: 315 次

LDAP的目的非常明显,即要简化X.500目录的繁杂程度来减少开发成本,同时适应Internet的需要。LDAP已是目录服务的标准,与X.500 DAP协议相比,它更简单实用,且可根据需要定制,因而实际应用也更为广泛。

LDAP提供多种认证策略,包括以下内容:

①匿名认证。在某些场景下,需把数据共享给目录下的全部用户,此时不用认证用户身份。

②简单口令。由客户端向服务端发送身份和口令,完成身份验证,是最容易的认证方式,但有安全风险。

③基于SASL的散列认证。与简单口令相比,客户端不向服务器发送口令,而是服务器向客户端发挑战码,客户端用其知道的秘密信息处理挑战码后返给服务器端,服务器据此判断用户身份。

④基于SSL的简单口令。与简单口令相比,数据的传输在SSL通道上,防止了口令的泄密。

⑤基于SSL的双向证书认证。基于SSL的数字证书认证有最高的安全级别,能确保数据的保密性与完整性,且用数字签名技术验证客户端身份。

在选择完认证策略后,一定要用访问控制列表控制用户能访问的数据。每个访问控制列表有以下三方面的内容。

①目录中的一个或多个资源:资源又叫对象,是访问控制的目标,通常包括条目属性、属性值。

②一个或多个主体:主体是拒绝或同意访问的条目,主体可用目录条目的名称或描述性信息指定。

③一个或多个访问权限:访问权限决定主体可操作的资源。例如,访问权限是“搜索与读取”,表明主体可查询并读取条目的属性。

上一篇:密码硬件设备有哪些 下一篇:传统密码学分类