ldap 认证密码为空问题

ldap 协议使用使用simple 协议同时没有包含密码的情况就会存在自动转换为匿名认证,但是如果同时ad 开启了需要null bind 就会造成木有输入密码也可以认证
成功的问题,机制上是协议栈的设计,但是对于如果ad 系统开启了此选项的问题就比较突出了,就会有安全隐患了,具体可以参考以下内容

参考资料

https://docs.oracle.com/javase/jndi/tutorial/ldap/security/simple.html
https://docs.oracle.com/javase/tutorial/jndi/ldap/authentication.html
https://stackoverflow.com/questions/12359831/java-ldap-make-it-not-ignore-blank-passwords
https://www.freebuf.com/articles/web/256920.html

posted on 2022-11-17 13:15  荣锋亮  阅读(238)  评论(0编辑  收藏  举报

导航