我只知道LDAP绑定可以进行用户密码验证。但问题是,应用服务器通常使用admin用户(cn=Directory Manager)来执行所有CRUD操作。
通过一个简单的绑定操作,我们必须创建一个ldap连接绑定到特定用户的dn,这很烦人。
据我所知ldapcompare是另一种选择,但看起来像OpenDJ ldapcompare不能比较纯文本密码(OpenDJ userPassword是加密的)。
但是从一些ldap浏览器(Apache ldap Studio),有一个"验证密码"工作得很好。
在应用服务器上使用cn=DirectoryManager是一个安全问题,就像在unix世界中以root身份运行应用程序一样。
您是否尝试过使用proxyAuth控件?以下是一些相关链接:
- https://marginnotes2.wordpress.com/2011/06/28/opendj-proxy-auth/
- https://idmdude.com/2015/03/28/opendj-and-the-fine-art-of-impersonation/