5

我正在构建一个需要身份验证的 Haskell Web 应用程序。我的组织运行 LDAP 服务器,我不希望重新发明轮子。LDAP.Init.ldapSimpleBind但是,当我从包中检查源代码时ldap-haskell,我发现它调用了 C 例程ldap_simple_bind_s。据我所知,这个 API 调用会将我的用户密码明文发送到 LDAP 服务器。不能接受的。

  • 我是否正确理解了ldap-haskell正在做什么?

  • 如果是这样,我是否有一种安全的方法可以从用 Haskell 编写的应用程序向 LDAP 服务器验证我的用户?

4

2 回答 2

7

密码必须通过安全连接以明文形式发送到支持密码策略检查的 LDAP 服务器。否则将导致服务器无法管理密码历史记录和密码质量检查。如果服务器不支持密码策略和历史记录检查,则该服务器不应用于重要的任务关键型应用程序。使用 SSL,否则使用 StartTLS 扩展操作提升到 TLS 的不安全连接。

于 2012-05-14T16:37:14.360 回答
5

您可以使用端口 636(安全 LDAP)而不是端口 389 连接到您的 LDAP 服务器吗?在这种情况下,您至少会有 SSL 保护。

于 2012-05-14T03:55:48.750 回答