Коллеги, привет!
А не проверял ли кто-нибудь какие методы аутентификации поддерживает платформа при работе с AD через LDAP?
Может где-то в ответах по инцидентам встречалась информация по теме?
Есть подозрение, что поддерживается только Simple аутентификация (LDAP_AUTH_SIMPLE).
Скорее всего S1 поддерживает все то, что умеет ldapsearch той же версии, что в контейнерах S1
а какая там стоит версия известно?
для работы с AD, по всей видимости, используется эта библиотека. Какие методы она использует, пока не понял.
Вопрос не понятен, LDAP (Lightweight Directory Access Protocol ) - это и есть протокол аутентификации. Так же как и Kerberos
Подробное описание в RFC 4511
Оказывается, все сложней чем я думал, у Microsoft свой взгляд на LDAP.
Вот интересная таблица:
| Method | Description | Credential |
|---|---|---|
| LDAP_AUTH_SIMPLE | Authentication with a plaintext password. | A string that contains the user password. |
| LDAP_AUTH_DIGEST | Digest authentication package. | To log in as the current user, set the dnand cred parameters to NULL. To log in as another user, set the dn parameter to NULL and the cred parameter to a pointer to a SEC_WINNT_AUTH_IDENTITY structure with the appropriate user name, domain name, and password. |
| LDAP_AUTH_DPA | Distributed password authentication. Used by Microsoft Membership System. | To log in as the current user, set the dnand cred parameters to NULL. To log in as another user, set the dn parameter to NULL and the cred parameter to a pointer to a SEC_WINNT_AUTH_IDENTITY structure with the appropriate user name, domain name, and password. |
| LDAP_AUTH_MSN | Microsoft Network Authentication Service. | To log in as the current user, set the dnand cred parameters to NULL. To log in as another user, set the dn parameter to NULL and the cred parameter to a pointer to a SEC_WINNT_AUTH_IDENTITY structure with the appropriate user name, domain name, and password. |
| LDAP_AUTH_NEGOTIATE | Generic security services (GSS) (Snego). Does not provide authentication, but instead chooses the most appropriate authentication method from a list of available services and passes all authentication data to that service. | To log in as the current user, set the dnand cred parameters to NULL. To log in as another user, set the dn parameter to NULL and the cred parameter to a pointer to a SEC_WINNT_AUTH_IDENTITY or SEC_WINNT_AUTH_IDENTITY_EXstructure with the appropriate user name, domain name, and password. |
| LDAP_AUTH_NTLM | NT LAN Manager | To log in as the current user, set the dnand cred parameters to NULL. To log in as another user, set the dn parameter to NULL and the cred parameter to a pointer to a SEC_WINNT_AUTH_IDENTITY or SEC_WINNT_AUTH_IDENTITY_EXstructure with the appropriate user name, domain name, and password. |
| LDAP_AUTH_SICILY | Covers package negotiation to MSN servers. | To log in as the current user, set the dnand cred parameters to NULL. To log in as another user, set the dn parameter to NULL and the cred parameter to a pointer to a SEC_WINNT_AUTH_IDENTITY structure with the appropriate user name, domain name, and password. |
| LDAP_AUTH_SSPI | Obsolete. Included for backward compatibility. Using this constant selects GSS (Snego) negotiation service. | Same as LDAP_AUTH_NEGOTIATE. |
По всей видимости ldap_bind использует только простое (simple) подключение к AD.
А вот ldap_sasl_bind в качестве параметра принимает способ аутентификации
Как итог, поддержка подтвердила, что на текущий момент поддерживается только метод LDAP_AUTH_SIMPLE аутентификации в AD через LDAP.