nil*_*gun 6 spring active-directory spring-security spring-ldap spring-security-ldap
我们正在使用 Spring Security Ldap 库 (v4.0.4) 从我们客户端的 Active Directory (ldap://domain:389) 中获取用户列表,并对他们进行身份验证以登录到我们的 Web 应用程序。
微软最近发布了启用 LDAP 通道绑定和 LDAP 签名的公告:https : //portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
“LDAP 通道绑定和 LDAP 签名提供了提高 LDAP 客户端和 Active Directory 域控制器之间通信安全性的方法。Active Directory 域控制器上存在一组不安全的 LDAP 通道绑定和 LDAP 签名默认配置,允许 LDAP 客户端与其通信没有强制执行 LDAP 通道绑定和 LDAP 签名。这可以打开 Active Directory 域控制器以提升特权漏洞。”
我们被问到在他们的服务器上启用 LDAP 通道绑定和 LDAP 签名是否会影响我们的流程。我在文档中找不到关于这些的信息:https : //docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#ldap
Spring Security Ldap 库 (v4.0.4) 是否支持这些?如果是这样,我们是否应该更改任何配置以确保事情不受影响?
以下是我从该项目的 Github 页面获得的官方答案,对于可能觉得有用的人:
https://github.com/spring-projects/spring-security/issues/8037
不,Spring Security 的 AD 支持仅与用户的用户名和密码进行简单绑定 - 唯一可用的安全增强功能是使用 TLS。如果应用程序需要通道绑定,我想它会通过 Java 的 GSS-API 来实现。
由于 4.0.x 不再是受支持的分支,因此任何添加的支持很可能会进入 Spring Security 的现代版本。
当然,如果您在此过程中发现任何问题,或者想要建议一项功能,请毫不犹豫地打开另一个问题,并可能将其链接回本问题。
| 归档时间: |
|
| 查看次数: |
419 次 |
| 最近记录: |