Autenticazione LDAP con `ldap-haskell`: può essere reso sicuro?

Question

Sto costruendo un'applicazione web Haskell per la quale ho bisogno di autenticazione. La mia organizzazione gestisce un server LDAP e preferirei non reinventare la ruota. Tuttavia, quando ispeziono il codice sorgente perdal pacchetto ldap-haskell, scopro che chiama la routine C ldap_simple_bind_s. Per quanto posso dire, questa chiamata API invierà le password dei miei utenti in chiaro a un server LDAP. Non accettabile.

• Ho capito correttamente cosa sta facendo ldap-haskell?

• In tal caso, esiste un modo protetto per autenticare i miei utenti su un server LDAP da un'applicazione scritta in Haskell?

Answer 1

Le password devono essere inviate in una connessione protetta a un server LDAP che supporta i controlli dei criteri password. In caso contrario, il server non sarà in grado di gestire la cronologia delle password e i controlli di qualità delle password. Se il server non supporta i criteri di password e la cronologia, allora quel server non dovrebbe essere usato per applicazioni mission-critical non banali. Utilizzare SSL o, in caso contrario, una connessione non sicura promossa a TLS utilizzando l'operazione estesa StartTLS.

Answer 2

È possibile utilizzare la porta 636 (LDAP protetta) anziché la porta 389 per connettersi al server LDAP? In questo caso avresti almeno la protezione SSL.