我有一个使用python-dap模块的脚本。
这是我的基本代码,可以连接到我的LDAP服务器:
server = 'ldap://example.com'
dn = 'uid=user1,cn=users,cn=accounts,dc=example,dc=com'
pw = "password!"
con = ldap.initialize(server)
con.start_tls_s()
con.simple_bind_s(dn,pw)
这有效...但是,实际的文字密码是否必须存储在变量pw中?将密码存储在脚本中似乎是一个坏主意。
有没有一种方法可以将安全连接到我的LDAP服务器,而无需将我的实际密码存储在脚本中??
将密码放在具有限制权限的单独文件中几乎就是这样。您可以例如从主脚本来源:
. /usr/local/etc/secret-password-here
您还可以限制主脚本的权限,以便只有授权人员才能执行它,但是最好按照您的建议进行操作,然后仅将密码本身存储在限制文件中。这样,您可以允许检查代码本身(无敏感秘密),版本控制和更轻松地围绕脚本复制,等等...