Как Организовать В Посторонней Системе Аутентификацию Через Ln-directo

30.05.2006
1 345
11
#1
В конторе зоопарк из различных платформ (LN, 1C, MS-xxx, Oracle). Везде - свои учётные данные. Но в LND база юзеров - самая полная.

Отсюда вопрос: как организовать из прикладной ИС, реализованной на той или иной платформе, аутентификацию через нашу Directory?
Приходит в голову только LDAP с публикацией в нём ShortName и HTTPPassword-а. Пароль там хешированный
Отсюда второй вопрос: что "в пузе" у наших @Password и @HashPassword?
 

Мыш

Премиум
12.02.2008
1 097
10
#2
Мои 5 копеек. Прикручивал SMTP-аутентификацию на НЕ-лотусовом почтовом сервере через лотусовый LDAP. LDAP по дефолту ставил, только запретил Анонимуса. Пароли пользователей, соответственно, используются из DD. SMTP-сервер в LDAP-запросе шлет логин/пароль как plain text, без всяких кодирований и шифрований. SSL не использовал (все в локалке). Вроде, работает.
Я так понимаю, заковыка может быть в конкретном LDAP-клиенте конкретной ИС... Ну как и с SMTP-клиентами - один нормальные письма шлет, другой MIME формирует как черт-его-знает-что...
Щас вообще SSO - модная тема, но вот не не сталкивался...
 

rinsk

Lotus team
12.11.2009
900
44
#3
В конторе зоопарк из различных платформ (LN, 1C, MS-xxx, Oracle). Везде - свои учётные данные. Но в LND база юзеров - самая полная.

Отсюда вопрос: как организовать из прикладной ИС, реализованной на той или иной платформе, аутентификацию через нашу Directory?
Приходит в голову только LDAP с публикацией в нём ShortName и HTTPPassword-а. Пароль там хешированный
Отсюда второй вопрос: что "в пузе" у наших @Password и @HashPassword?
не нужно нутро @Password - достаточно .bind(user,pass) к LDAP серверу.
Единственно что вызывает проблемы - правильный base DN и список атрибутов. Но эт у каждого свое - что АД что LN...
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 586
272
#4
я сталкивался с различным поведением разных ЛДАП клиентов, когда копал связку postfix->LDN
точно не вспомню, но нек. реагировали на указание организации, при отсутствии - выдавали пустой список пользователей
но это несколько - не аутентификация :D
 

rinsk

Lotus team
12.11.2009
900
44
#5
я сталкивался с различным поведением разных ЛДАП клиентов, когда копал связку postfix->LDN
точно не вспомню, но нек. реагировали на указание организации, при отсутствии - выдавали пустой список пользователей
но это несколько - не аутентификация :D
и я о том - у каждого LDAP может быть своя схема. по честному клиент должен иметь настраиваемые параметры используемых атрибутов и формул поиска
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 586
272
#6
как примеры:
ldapsearch -x -D "cn=ldap-query" -w password -h server -b "o=ORGANIZATION" "cn=user"
КМК работало во "всех" версиях ldapsearch
а
ldapsearch -x -D "cn=ldap-query" -w password -h server -b "" "cn=user"
только в "новых"
или наоборот :D