Аутентификация LDAP часто (но не всегда) представляет собой двухэтапный процесс: сначала приложение выполняет запрос LDAP, чтобы найти «отличительное имя» (dn) учетной записи, к которой пользователь пытается аутентифицироваться, затем пытается войти в систему. in ("bind", на языке LDAP) как dn, используя предоставленный пользователем пароль.
Если попытка «связать» работает, приложение знает, что пароль правильный. (Сервер LDAP, скорее всего, не настроен на то, чтобы приложение могло фактически извлечь пароль и выполнить сравнение по понятным причинам безопасности).
Для приложения с поддержкой LDAP обычно требуется способ настройки:
- имя хоста / порт сервера LDAP
- база поиска (например, dc = mycompany, dc = org)
- фильтр поиска пользователя (например, "(| (cn =% userid) (mail =% userid))")
- учетные данные приложения для начального запроса LDAP (если сервер не разрешает анонимные запросы)
Скорее всего, вам потребуется поддержка SSL, поэтому вы не отправляете пароль пользователя на сервер LDAP в открытом виде.