Как Организовать В Посторонней Системе Аутентификацию Через Ln-directo

Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
В конторе зоопарк из различных платформ (LN, 1C, MS-xxx, Oracle). Везде - свои учётные данные. Но в LND база юзеров - самая полная.

Отсюда вопрос: как организовать из прикладной ИС, реализованной на той или иной платформе, аутентификацию через нашу Directory?
Приходит в голову только LDAP с публикацией в нём ShortName и HTTPPassword-а. Пароль там хешированный
Отсюда второй вопрос: что "в пузе" у наших @Password и @HashPassword?
 
Мыш

Мыш

Lotus Team
12.02.2008
1 228
30
BIT
138
Мои 5 копеек. Прикручивал SMTP-аутентификацию на НЕ-лотусовом почтовом сервере через лотусовый LDAP. LDAP по дефолту ставил, только запретил Анонимуса. Пароли пользователей, соответственно, используются из DD. SMTP-сервер в LDAP-запросе шлет логин/пароль как plain text, без всяких кодирований и шифрований. SSL не использовал (все в локалке). Вроде, работает.
Я так понимаю, заковыка может быть в конкретном LDAP-клиенте конкретной ИС... Ну как и с SMTP-клиентами - один нормальные письма шлет, другой MIME формирует как черт-его-знает-что...
Щас вообще SSO - модная тема, но вот не не сталкивался...
 
R

rinsk

Lotus Team
12.11.2009
1 156
126
BIT
48
Constantin A Chervonenko сказал(а):
В конторе зоопарк из различных платформ (LN, 1C, MS-xxx, Oracle). Везде - свои учётные данные. Но в LND база юзеров - самая полная.

Отсюда вопрос: как организовать из прикладной ИС, реализованной на той или иной платформе, аутентификацию через нашу Directory?
Приходит в голову только LDAP с публикацией в нём ShortName и HTTPPassword-а. Пароль там хешированный
Отсюда второй вопрос: что "в пузе" у наших @Password и @HashPassword?
Нажмите, чтобы раскрыть...
не нужно нутро @Password - достаточно .bind(user,pass) к LDAP серверу.
Единственно что вызывает проблемы - правильный base DN и список атрибутов. Но эт у каждого свое - что АД что LN...
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
473
я сталкивался с различным поведением разных ЛДАП клиентов, когда копал связку postfix->LDN
точно не вспомню, но нек. реагировали на указание организации, при отсутствии - выдавали пустой список пользователей
но это несколько - не аутентификация :D
 
R

rinsk

Lotus Team
12.11.2009
1 156
126
BIT
48
lmike сказал(а):
я сталкивался с различным поведением разных ЛДАП клиентов, когда копал связку postfix->LDN
точно не вспомню, но нек. реагировали на указание организации, при отсутствии - выдавали пустой список пользователей
но это несколько - не аутентификация :D
Нажмите, чтобы раскрыть...

и я о том - у каждого LDAP может быть своя схема. по честному клиент должен иметь настраиваемые параметры используемых атрибутов и формул поиска
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
473
как примеры:
ldapsearch -x -D "cn=ldap-query" -w password -h server -b "o=ORGANIZATION" "cn=user"
КМК работало во "всех" версиях ldapsearch
а
ldapsearch -x -D "cn=ldap-query" -w password -h server -b "" "cn=user"
только в "новых"
или наоборот :D
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ