OpenDJ Benutzer Passwort-Option verifizieren?

Question

Ich weiß, einfach eine LDAP-Bindung kann Benutzer Passwortverifizierung tun. Aber die Sache ist, dass ein Anwendungsserver normalerweise einen Admin-Benutzer (cn = Directory Manager) verwendet, um alle CRUD-Operationen auszuführen.

Durch eine einfache Bind-Operation, müssen wir eine LDAP-Verbindung erstellen bindet mit dem spezifischen Benutzer dn, was ärgerlich ist.

Wie ich weiß ldapcompare ist eine andere Alternative, aber sieht aus wie OpenDJ ldapcompare kann nicht vergleichen plain-text-password (OpenDJ userPassword ist verschlüsselt).

Aber von einigen LDAP-Browser (Apache LDAP Studio) gibt es ein "Vefiry Passwort", die sehr gut funktioniert.

Irgendeine Idee?

Answer 1

Die Verwendung von cn=DirectoryManager von einem Anwendungsserver ist ein Sicherheitsproblem, ähnlich wie das Ausführen von Anwendungen als root in der Unix-Welt.

Haben Sie versucht, das ProxyAuth-Steuerelement zu verwenden? Hier sind einige relevante Links:

• https://marginnotes2.wordpress.com/2011/06/28/opendj-proxy-auth/
• https://idmdude.com/2015/03/28/opendj-and-the-fine-art-of-impersonation/