web-dev-qa-db-ja.com

PINベースの認証でLDAP / ActiveDirectoryを使用する

サービスをLDAPと統合したいのですが、ハードウェアの制約により、4桁のユーザーIDとパスワードしか許可されていません。

そのような認証を実行するためのベストプラクティスは何でしょうか?

LDAPユーザースキーマにユーザーIDとPIN属性を追加することを検討しましたが、サービスと対話するためにスキーマを変更することで人々がどれほど満足できるかはわかりません。PIN属性は、ネイティブユーザーのパスワードと同じサポートが必要です。(ハッシュやソルトなど)

[〜#〜] update [〜#〜]

もう1つの考慮事項は、ldap_bindがこのシナリオでどのように機能するかです。別の認証方法を使用するにはどうすればよいですか?これは、同じLDAPサーバーを使用する他のサービスに影響を与えることなく実行できますか?

1
nishantjr

LDAPユーザースキーマを変更する必要はありませんが、/etc/openldap/schema/yourservice.schemaの下に独自のスキーマ定義を作成します。

IANAのこのフォーム を使用して、組織に固有のOIDを取得する必要があります。構文属性については、数値文字列にはOID = 1.3.6.1.4.1.1466.115.121.1.36であり、制限値を追加すると、それは制限ではなく下限になります。

2
mvillar