LDAP Active Directory 身份验证问题

Question

我正在尝试使用他们的 LDAP 凭据对我网站上的用户进行身份验证。但是，绑定到活动目录似乎首先需要我的凭据，然后我才能验证任何其他用户名/密码。
我不想在应用程序中硬编码我的凭据。有什么建议吗？

$self->authen->config( 
DRIVER => [ 'Authen::Simple::LDAP',
host   => 'ldapad.company.com',
basedn => 'OU=XXX,OU=AD,DC=YYY,DC=ZZZ', 
binddn => 'CN=myname,OU=Users,OU=company,OU=AD,DC=company,DC=ZZZ',
bindpw => 'secret',
filter => '(cn=%s)',   

],

CREDENTIALS          => [ 'authen_username', 'authen_password' ],
STORE                => 'Session',
LOGOUT_RUNMODE       => 'logout',
LOGIN_RUNMODE        => 'login',
POST_LOGIN_RUNMODE   => 'okay',
RENDER_LOGIN         => \&my_login_form,

);

Answer 1

这是 LDAP 到 A/D 的标准常见问题解答项目。

您必须为绑定到 A/D 的目的创建一个特殊用户，并在您的客户端中硬编码凭据。 AFAIK 没有办法绕过这个要求，但如果有更新的信息可用（我在几年前解决了这个问题）我很想知道。

Answer 2

您可以将凭据存储在一个单独的文件中，您可以通过编程方式读取该文件并对其具有严格的权限，因此至少您不必将凭据直接嵌入源中。

Answer 3

您应该在活动目录中创建一个用户（比如“aduser”），该用户可以有一个简单的密码。然后，您可以简单地授予该用户执行或访问任何内容的权限。 AD 允许任何用户（即使是没有访问权限的用户）绑定到目录，但他们必须在域上拥有一个帐户。