我正在集成要与 LDAP(Active Directory/Open LDAP)一起使用的外部 OTP 解决方案。用户使用针对 LDAP 进行身份验证的用户 ID 和密码注册令牌,成功验证后,用户将使用令牌 ID 和用户 ID 在 OTP 系统中注册。
注册期间的 LDAP 流程:
- 使用 SSL 与帐户“CN=ServiceUser,DC=orgname,DC=local”(serviceUser) 和密码“svcPassword”(servicePassword) 绑定到 ldap.orgname.local:636(服务器)
- 在根“OU=Users,DC=orgname,DC=local”(userRootDN) 的树中搜索“cn”(userNameAttribute) 等于“john”的用户条目
- 在“cn=john,OU=Users,DC=orgname,DC=local”处查找条目
- 使用密码“testpass”验证“cn=john,OU=Users.DC=orgname,DC=local”
- 如果身份验证成功,OTP 令牌将与用户“john”相关联</li>
在身份验证期间,用户从令牌中提供用户 ID 和 OTP,OTP 系统从令牌和用户 ID 中验证 OTP,如果匹配,则必须查询 LDAP 以检索 groupmember/nsrole 以提供系统中的正确访问权限。
身份验证期间的 LDAP 过程:
- 在通过匹配的 OTP 令牌成功进行身份验证后执行 LDAP 查找以获取授权。
- 使用 SSL 与帐户“CN=ServiceUser,DC=orgname,DC=local”(serviceUser)和密码“svcPassword”(servicePassword)绑定到 ldap.orgname.local:636(服务器)
- 在根“OU=Users,DC=orgname,DC=local”(userRootDN) 的树中搜索属性“cn”(userNameAttribute) 等于“john”的用户条目
- 在“cn=john,OU=Users,DC=orgname,DC=local”处找到一个条目
- 在根“OU=Roles,DC=orgname,DC=local”(roleRootDN) 的树中搜索属性“member”(roleUserDNAttribute) 等于“cn=john,OU=Users,DC=orgname, DC=local”的组条目"
- 返回每个角色的“cn”(roleNameAttribute)属性的值以继续授予用户访问权限
由于获取角色只是一个查询,此时是否有任何 LDAP 命令或方法让 LDAP 知道用户已通过外部身份验证,这将有助于审计日志?