Приложения, аутентифицирующиеся по каталогу LDAP, не смогут получить доступ ко всем паролям пользователя по массе , если вы не разрешите прямой доступ для чтения к атрибуту или вамне храните ваши пароли в виде открытого текста (если вы используете что-то вроде ldapsearch для выгрузки записи и имеете userpassword ::, за которым следует куча случайных «вещей», это легко декодируемый пароль в виде открытого текста).Приложение, которому я разрешаю доступ к своему серверу LDAP, не имеет доступа для чтения всех значений userPassword, чтобы попытаться преобразовать их в чистый текст (и я использую приличный механизм шифрования для хранения значения userPassword).Я ограничиваю учетную запись службы приложений чтением атрибутов типа контакта (номер телефона, адрес) и групповых объектов.Единственный способ получить пароль пользователя - это запросить его у пользователя и привязать его к моему каталогу с этими учетными данными.Может ли администратор приложения получить учетные данные для тех, кто использует приложение?Конечно, они могут .
В готовом приложении я мог бы подключить отладчик и получить доступ к значениям имени пользователя и пароля при их прохождении через приложение.С помощью пользовательских приложений еще проще получить учетные данные.Приложение принимает имя пользователя и пароль в качестве ввода пользователя и связывается с сервером LDAP для проверки имени пользователя и пароля.Как администратор сервера LDAP, я ничего не могу сделать, чтобы не дать разработчику приложения звонить и делать другие вещи с этим именем пользователя и паролем.«Другие вещи» могут быть законными - я обработал миграцию каталогов LDAP, выполнив аутентификацию на старой системе и, в случае успеха, создав пользователя в новом каталоге LDAP с паролем, принятым старым каталогом.Это был ужасный способ переноса каталогов, но он работал.«Другие вещи» могут быть злыми.Вероятно ли встретить администратора приложения или разработчика, который выкачивает учетные данные?Зависит от того, кто выполняет аутентификацию через каталог LDAP.
Это не единственный сбой LDAP - любой сервер аутентификации, который вы позволяете другим людям использовать напрямую, страдает той же проблемой.Если вы не хотите, чтобы администраторы / разработчики приложения перехватывали учетные данные пользователя, изучите федеративное управление идентификацией (FIM) - механизмы аутентификации, в которых приложение (поставщик услуг, в терминологии FIM) не имеет доступ к имени пользователя и паролю, но скорее проверяет токен некоторого вида, который был создан после того, как доверенный «провайдер идентификации» аутентифицировал имя пользователя и пароль.