使用authentication=“DIGEST-MD5”配置Tomcat 6.0以进行LDAP身份验证

Question

简单身份验证：

使用 LDAP 浏览器时，我可以通过提供以下内容使用纯文本密码登录公司的 LDAP 服务器：CN=用户名，OU=用户，DC=我，DC=公司，DC=com。如果我将此字符串复制粘贴到 Tomcat 的 server.xml connectionName 标记中，并使用简单身份验证（使用wireshark 可以看到纯文本密码），则一切正常。

加密密码：

在 server.xml JNDI 领域中，我添加了以下内容

authentication="DIGEST-MD5"
digest='MD5' 

现在，Tomcat 无法绑定到 LDAP。

使用 LDAP 浏览器，我必须提供以下形式的凭据：域/用户，然后我可以使用 DIGEST-MD5 绑定到 LDAP。

是否有一种特殊的方法可以在 server.xml 文件中指定 connectionName 以便 Tomcat 可以成功执行绑定？

Answer 1

您没有提到您使用的目录服务器。可能是您的服务器根本不支持 DIGEST-MD5。您可以通过检查supportedSASLMechanisms RootDSE 值来检查这一点。

如果您使用 Active Directory，请确保 1) 您已创建 SPN（有关详细信息，请参阅 setspn.exe）2) 用于连接到 AD 的用户帐户设置为“使用可逆加密”用户帐户标志。如果没有此选项，它将永远无法工作，因为 DIGEST-MD5 算法需要访问两端的明文密码。

Answer 2

根据tomcat文档，JNDIRealm支持两种不同的身份验证方法：绑定模式和比较模式。

您正在使用“绑定模式”，并且文档说：“出于安全原因，目录可能会存储用户密码的摘要，而不是明文版本（请参阅摘要密码以获取更多信息）。在这种情况下，作为一部分在简单绑定操作中，目录会自动计算用户提供的明文密码的正确摘要，然后根据存储的值进行验证。因此，在绑定模式下，领域不参与摘要处理。不使用摘要属性，并且将如果设置则被忽略。”。所以你不能使用“绑定模式”的哈希值。

使用“比较模式”，您将能够执行您想要执行的操作，但由于安全原因，不建议使用“比较模式”，正如您可以在此处看到的：“比较模式有一些缺点。首先，connectionName 和连接密码属性必须配置为允许领域读取目录中的用户密码，出于安全原因，这通常是不可取的；实际上，许多目录实现甚至不允许目录管理器读取这些密码。此外，领域必须处理密码。摘要本身，包括所使用的算法和在目录中表示密码散列的方式的变化。但是，领域有时可能需要访问存储的密码，例如支持 HTTP 摘要访问身份验证（RFC 2069）。身份验证不同于上面讨论的用户信息存储库中的密码摘要存储。”

tomcat 文档的链接： http://tomcat.apache.org/ tomcat-6.0-doc/realm-howto.html#JNDIRealm 和 http://tomcat.apache.org/tomcat-7.0-doc/realm -howto.html#JNDIRealm