Jak wykonać uwierzytelnianie hasłem dla użytkownika korzystającego z LDAP?

Question

Piszę aplikację kliencką (przy użyciu bibliotek OpenLDAP), do której użytkownicy uzyskują uwierzytelnienie za pośrednictwem serwera LDAP.

Oto przykładowy, zakodowany program, który nie może porównać userPassword dla użytkownika.

#include <stdio.h> 
#include <ldap.h> 
#define LDAP_SERVER "ldap://192.168.1.95:389" 

int main(int argc, char **argv){ 
    LDAP  *ld; 
    int   rc; 
    char  bind_dn[100]; 
    LDAPMessage *result, *e; 
    char *dn; 
    int has_value; 

    sprintf(bind_dn, "cn=%s,dc=ashwin,dc=com", "manager"); 
    printf("Connecting as %s...\n", bind_dn); 

    if(ldap_initialize(&ld, LDAP_SERVER)) 
    { 
     perror("ldap_initialize"); 
     return(1); 
    } 

    rc = ldap_simple_bind_s(ld, bind_dn, "ashwin"); 
    if(rc != LDAP_SUCCESS) 
    { 
     fprintf(stderr, "ldap_simple_bind_s: %s\n", ldap_err2string(rc)); 
     return(1); 
    } 

    printf("Successful authentication\n"); 

    rc = ldap_search_ext_s(ld, "dc=ashwin,dc=com", LDAP_SCOPE_SUBTREE, "sn=ashwin kumar", NULL, 0, NULL, NULL, NULL, 0, &result); 
    if (rc != LDAP_SUCCESS) { 
     fprintf(stderr, "ldap_search_ext_s: %s\n", ldap_err2string(rc)); 
    } 

    for (e = ldap_first_entry(ld, result); e != NULL; e = ldap_next_entry(ld, e)) { 
     if ((dn = ldap_get_dn(ld, e)) != NULL) { 
      printf("dn: %s\n", dn); 
      has_value = ldap_compare_s(ld, dn, "userPassword", "secret"); 
      switch (has_value) { 
       case LDAP_COMPARE_TRUE: 
        printf("Works.\n"); 
        break; 
       case LDAP_COMPARE_FALSE: 
        printf("Failed.\n"); 
        break; 
       default: 
        ldap_perror(ld, "ldap_compare_s"); 
        return(1); 
      } 
      ldap_memfree(dn); 
     } 
    } 

    ldap_msgfree(result); 
    ldap_unbind(ld); 
    return(0); 
} 

userPassword jeśli jest to zwykły serwer LDAP, to działa. to samo hasło, jeśli jest zaszyfrowane MD5, nie powiodło się ldap_compare_s. A to dlatego, że przekazuję hasło do jawnego tekstu w celu porównania.

Jak uruchomić ten przykładowy program?

Czy robię to dobrze? Czy prawidłowe jest używanie ldap_compare_s do uwierzytelniania użytkownika przez LDAP?

P.S: Po raz pierwszy pracuję nad LDAP.

Answer 1

To naprawdę nie jest właściwy sposób na sprawdzenie hasła na serwerze LDAP. Powinieneś podjąć próbę powiązania za pomocą dn uzyskanego z pierwszego wyszukiwania i podanego hasła.

tj. Wykonuje się drugie wiązanie w celu weryfikacji hasła. Jeśli wiązanie nie powiedzie się, hasło jest niepoprawne.

coś w rodzaju:

if ((dn = ldap_get_dn(ld, e)) != NULL) { 
     printf("dn: %s\n", dn); 
     /* rebind */ 
     ldap_initialize(&ld2, LDAP_SERVER); 
     rc = ldap_simple_bind_s(ld2, dn, "secret"); 
     printf("%d\n", rc); 
     if (rc != 0) { 
      printf("Failed.\n"); 
     } else { 
      printf("Works.\n"); 
      ldap_unbind(ld2); 
     } 
     ldap_memfree(dn); 
    } 

Ze względów bezpieczeństwa wskazujących, że nazwa jest niepoprawna (czyli poszukiwanie konta użytkownika nie) jest powszechnie uważany za nadmierny ujawnienie i powinno się ich unikać.