사용자가 비밀번호를 변경하려고 할 때 "제약 위반" 이상의 내용을 사용자에게 알릴 수 있습니까?
추측하도록 두는 대신 "비밀번호는 7자 이상이어야 합니다"와 같은 것이 있습니까?
오픈DJ
답변1
귀하의 LDAP 서버는 무엇입니까?
오류 19, LDAP_CONSTRAINT_VIOLATION - DN 수정, 추가 또는 수정 작업에 지정된 속성 값이 속성에 적용된 제약 조건을 위반했음을 나타냅니다. 제약 조건은 크기 또는 내용 중 하나일 수 있습니다(문자열만 가능, 바이너리 없음).
대부분의 LDAP 서버는 이미 비밀번호나 속성에서 누락된 부분에 대한 충분한 정보를 제공합니다. 389 디렉토리 서버 또는 RHDS를 확인해 주시겠습니까? 389-ds의 샘플은 다음과 같습니다.
[17/Aug/2012:22:24:59 +0000] conn=85 op=14 RESULT err=19 tag=103 nentries=0 etime=0
[17/Aug/2012:22:24:59 +0000] conn=85 op=14 MOD dn="uid=redhat,ou=Users,dc=example,dc=com", within password minimum age
답변2
응답에 자세한 오류 코드를 제공하는 LDAP 확장 비밀번호 수정 요청을 사용하려면 코드를 변경해야 합니다.
답변3
오래된 질문이지만 오늘 외부 셀프 서비스 암호 웹 앱에서 이와 똑같은 문제가 발생했습니다. SSP 웹 앱은 389-DS에 도달하기 전에 비밀번호를 SSHA로 전송하여 389-DS가 해시를 수신한 것으로 나타났습니다.
SSP 웹 앱은 비밀번호를 비워두고 389-DS가 쓰기 시 비밀번호를 암호화하도록 해야 합니다.(SSP 웹 앱은 AES-256과 함께 TLS 1.2를 사용하여 LDAP와 통신하므로 일반 비밀번호는 전송 중인 대부분의 HTTPS 웹사이트만큼 안전합니다.)
답변4
더 설명적인 메시지를 제공하는 것은 권장되지 않습니다. LDAP 응답에 더 많은 설명 텍스트가 있으면 공격자에게 도움이 됩니다.