私は、ldap ディレクトリが userpassword を平文またはハッシュ (利用可能なアルゴリズムの 1 つを使用) として保存できることを知っています。
クライアントはユーザーパスワードを平文形式で送信します。認証サーバーは、保存されたパスワードがハッシュ形式かクリアテキストかをチェックします...ケースに応じて、クライアントからのパスワードを保存された値と比較します。
接続を安全にするために TLS を使用できますが、パスワードをクライアントからサーバーにクリアテキスト形式でのみ送信する必要がありますか..
クライアントがパスワードをハッシュ形式で送信するオプションはありますか?
LDAP クライアントが BIND 操作にパスワードのない SASL 方式を使用していない限り、パスワードは安全な接続を介してクリア テキストで送信する必要があります。この方法によってのみ、ディレクトリ サーバーはパスワード品質規則、パスワード履歴などを適用できます。この理由から、ソフトウェアの専門家は、事前にエンコードされたパスワードを送信するという考えを拒否する必要があります。
ディレクトリ サーバーは、利用可能な最長のダイジェストでソルトされたSHA-2を使用するように構成する必要があります (プロ品質のディレクトリ サーバーは、512 ビット ダイジェストでソルトされた SHA-2 をサポートします)。それ以外の場合、DIGEST-MD5 のようなセキュリティの低い SASL メソッドを使用する必要がある場合、サーバーはパスワードにアクセスする必要があります。したがって、パスワードは利用可能な最強の可逆暗号化で保存する必要があります。これはAESだと思います。
要約すると、単純な BIND 操作を使用して認証する場合: