Joe*_*hey 5 java encryption md5 jndi ldap
我正在尝试使用 DIGEST-MD5 加密对我的 LDAP 服务器进行身份验证。虽然使用简单加密它工作得很好,但由于显而易见的原因,我无法通过网络以纯文本形式发送密码。奇怪的是,在使用 Softerra LDAP 浏览器时,我可以使用 Digest-MD5 连接到服务器,但是通过我的代码,我收到了一系列错误。
这是我的 LDAP 身份验证类中的一段代码,我尝试在创建初始上下文之前设置安全身份验证等。
Hashtable env = new Hashtable(11);
env.put(Context.SECURITY_AUTHENTICATION, "DIGEST-MD5");
env.put(Context.SECURITY_PRINCIPAL, username);
env.put(Context.SECURITY_CREDENTIALS, password);
env.put(Context.PROVIDER_URL, ldapURI);
env.put(Context.INITIAL_CONTEXT_FACTORY, context);
env.put("com.sun.jndi.ldap.trace.ber", System.out);
try{
DirContext ctx = new InitialLdapContext(env,null);
} Catch (NamingException e){
e.printStackTrace();
}
我的回答没有回答您的问题,而是纠正了一个误解:在 BIND 请求中使用 SASL DIGEST-MD5 机制要求目录服务器有权访问用户的密码。为了使目录服务器能够访问密码,密码必须以明文形式存储或使用可逆密码方案进行加密。可逆密码方案本质上不如加盐 SHA 哈希安全,特别是具有长摘要的加盐 SHA-2 哈希。因此,将 SASL 与 DIGEST-MD5 结合使用的安全性低于通过安全连接使用简单的 BIND 请求,其中安全连接是从一开始就通过 SSL 加密的连接,或者是将非安全连接提升为与StartTLS 扩展操作,并且安全性低于 SASL EXTERNAL 机制或 Kerberos。
误解是“通过网络以纯文本形式发送密码”的概念并不安全,而事实上,使用加盐 SHA-2 哈希将密码存储在目录服务器中(现代专业质量的目录服务器有能力使用具有长摘要长度的加盐 SHA-2 哈希)并通过安全连接传输明文密码比让目录服务器以明文或可逆加密方案存储密码更安全。因此,应避免使用带有 DIGEST-MD5 的 SASL。具有 EXTERNAL 机制的 SASL 是更好的替代方案,其中服务器从加密会话建立期间提供的证书中提取身份验证信息。Kerberos 也是一个更好的选择。如果服务器在使用加盐 SHA 算法对密码进行哈希处理后存储密码,那么网络上的纯文本也会更安全。
如果将 SASL 与 DIGEST-MD5 结合使用绝对至关重要,则应将目录服务器配置为使用可用的最强加密方案(除非我弄错了,否则是 AES)对密码进行加密。专业品质的服务器可以使用 AES 加密密码。
| 归档时间: |
|
| 查看次数: |
5356 次 |
| 最近记录: |