我相信我已经知道了这个问题的答案,但想发帖看看是否有人有任何额外的想法。当前代码在将密码发送到 Web 服务之前对密码(MD5、SHA1,在这种情况下不重要)进行哈希处理。Web 服务使用散列密码并将其与散列的数据库进行比较。我们希望为 AD 提供类似的功能,但并不真的想以明文形式将密码发送到服务。SSL 也在环境中,我们可以进行某种二进制编码来提供帮助,但我很好奇目录服务类中是否有任何功能可以在登录模拟期间将 AD 密码与哈希值进行比较。我的怀疑是否定的。
谢谢。
我不知道用 LDAP 来做这件事的方法,但可以用 Kerberos 来做。一个很好的起点是technet 上的Kerberos 身份验证技术参考。
您可能还想查看Logon and Authentication Technologies,这是父文章并列出了一堆我不熟悉的针对 AD 进行身份验证的方法。
大多数 LDAP 实现,但可能不支持 AD,支持http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer,这可能对您有用。
使用 TLS/SSL 和简单绑定与您的解决方案一样安全,因为密码永远不会以明文形式暴露在网络上。
-吉姆