¿Cómo agregar entradas de usuario con el campo de contraseña en LDAP sobre HTTPS?

Navega tus respuestas
1

Soy nuevo en este tipo de cosas (HTTPS, etc.) y estoy bastante confundido sobre cómo seguir adelante con esto.

Un servidor LDAP (ApacheDS) en el back-end almacena los detalles del usuario. Para agregar nuevos usuarios, el formulario de creación de usuarios se puede proporcionar como servicio web a través de HTTPS.

Según esta cadena de correo , los archivos LDIF deberían tener userPassword como texto sin formato para que el servidor LDAP se encargue del hashing.

¿Es posible obtener userPassword como texto sin formato, en el lado del servidor, cuando un usuario final ingresa la contraseña en el lado del cliente cuando se usa HTTPS? ¿Es una buena idea?

¿O debería dejar que el usuario lo pise en SSHA en el lado del cliente y lo entregue al servidor, que agregaría en el archivo LDIF?

    
pregunta gaganbm 25.06.2014 - 08:01
fuente

1 respuesta

1
  

¿Es posible obtener userPassword como texto sin formato, en el lado del servidor, cuando un usuario final ingresa la contraseña en el lado del cliente cuando se usa HTTPS?

Sí. HTTPS es HTTP sobre TLS. TLS significa Seguridad de nivel de transporte y, como su nombre lo indica, cifra la capa de transporte . Es decir, solo está diseñado para proteger los datos durante su transferencia a través de la red.

En general, habrá un terminador TLS (o terminador SSL) en el borde de su infraestructura; este software (u ocasionalmente, el hardware) descifra el cifrado TLS y pasa la solicitud HTTP subyacente sin cifrar al servidor de aplicaciones. Así que sí, esto es posible y común.

    
respondido por el Xiong Chiamiov 11.02.2017 - 20:27
fuente

Lea otras preguntas en las etiquetas

Es seguro para todos los esquemas de autenticación no basados en cookies (por ejemplo, OAuth). ¿qué daño puede hacer una persona maliciosa?