使用 LDAP 对用户进行 SSO 身份验证

Question

所以我的任务是为我们的 Windows 应用程序实现 SSO。目前，用户登录机器后，在加载应用程序时必须重新登录我们的应用程序。应用程序通过查询 LDAP 服务器来验证用户。

我们希望用户在点击应用时自动登录到应用。我的理解是 LDAP 身份验证仍然必须进行，但我不确定工作流程是什么，以及我们如何在不要求他们重新输入用户名/密码的情况下验证用户。请注意，这不是 Web 应用程序，因此我不能使用 SAML 或 OAuth 之类的工具（除非我也弄错了......？）

所以我的具体问题如下：

是否可以将 LDAP 用于 SSO，如果可以，如何使用？我是否可以仅使用用户名验证用户身份，还是还需要密码？

我们将不胜感激，如果需要，我们很乐意提供进一步的说明。

Answer 1

首先，LDAP 是一种协议，您可以使用它与实现该协议的数据库进行通信。

所以 LDAP 数据库（通常称为目录）是 ... 数据库，因此不提供 SSO 功能。

要部署 SSO 解决方案，您需要 SSO 服务。您的所有应用程序都必须以某种方式“兼容”此服务。

我能想到的在不添加第三方应用程序的情况下制作“Windows SSO”的唯一方法是应用程序可以在客户端发出的请求中检索 NTLM 信息并使用用户数据来识别他。 （但在安全方面，我让你判断你的想法；））。 See this php example

Answer 2

一些 LDAP 实现，包括 OpenLDAP，提供某种程度的支持 Generic Security Service Application Program Interface (GSSAPI) 或 SPNEGO（一个特定的 GSSAPI 实现）

虽然不简单，但可以从支持 GSSAPI 的“浏览器”执行 SSO。 AFIK、IE、Firefox、Safari 和Chrome 都提供了对 GSSAPI 的某种程度的支持，尽管每个浏览器都需要特定的配置（通常是服务器的白名单）。

有许多 SSO 产品以“可能”比自己动手更安全、更容易的过程来实现这些功能。

GSAPPI/SPNEGO 通常由于实施问题而利用了许多已知的漏洞详细信息。