在此页:
目标用户:
CAST 管理员
摘要:这个页面描述了在为CAST AIC门户配置LDAP身份验证时如何加密登录和密码。
简介
当配置CAST AIC门户连接到LDAP服务器(见标准LDAPCAST AIC 门户 —— 配置用户身份验证)登录和密码以明文形式相关的配置文件中定义。因此这代表了潜在的安全风险。如果组织要求对这些登录和密码进行加密,可以使用下面的说明进行加密。
请注意,本文档已经假设有一个到CAST AIC门户的工作连接。
加密对LDAP服务器的访问
在配置LDAP服务器的访问权限进行身份验证时,必须在security.properties文件中指定LDAP用户和密码。正如CAST AIC 门户 —— 配置用户身份验证明文描述:
security.ldap.account.dn=cn=serviceaccount,dc=example,dc=com security.ldap.account.password=password
为了避免这样做,请按照以下步骤进行:
- 浏览至以下URL访问内建的登录/密码匙生成网页:
http://<server>:[<port>]/CAST——AICP/static/key.html
- 使用任何CAST AIC门户用户登录(无论Default Authentication/ Active Directory / LDAP):
- 身份验证成功后,现在需要为LDAP服务器输入凭证(登录和密码)(通常需要在security.properties文件中输入用于配置LDAP模式),以及希望加密的属性文件。在下面的示例中,输入了所需的LDAP凭证:
- 现在单击Encrypt按钮—— CAST将生成一个与输入的凭证相关的密钥:
- 现在需要将此键复制到剪贴板或文本文件。
- 现在用文本编辑器打开以下文件:
%CATALINA_HOME\webapps\CAST——AICP\WEB——INF\security.properties
- 在文件中找到以下部分:
# Parameters for ldap mode
# ————————————————————————————————————————————————
security.ldap.url=ldap://directory.example.com/
security.ldap.account.dn=cn=serviceaccount,dc=example,dc=com
security.ldap.account.password=password
security.ldap.account.key=
security.ldap.usersearch.base=dc=example,dc=com
security.ldap.usersearch.filter=(&(objectClass=inetOrgPerson)(uid={0}))
security.ldap.groupsearch.base=dc=example,dc=com
security.ldap.groupsearch.filter=(&(objectClass=groupOfNames)(member={0}))
- 首先删除security.ldap.account.dn和security.ldap.account.password参数中的两行。
- 然后在包含“key”的行中输入前面生成的key
- 这将提供以下信息:
# Parameters for ldap mode
# ————————————————————————————————————————————————
security.ldap.url=ldap://directory.example.com/
security.ldap.account.key=CRYPTED2:A9762B77F8A5B6C0A885BABD58DFA1438D77A51B94ECA09
security.ldap.usersearch.base=dc=example,dc=com
security.ldap.usersearch.filter=(&(objectClass=inetOrgPerson)(uid={0}))
security.ldap.groupsearch.base=dc=example,dc=com
security.ldap.groupsearch.filter=(&(objectClass=groupOfNames)(member={0}))
- 保存文件。
- 重新启动CAST AIC门户web应用。
- 现在重新加载CAST AIC门户,并确保能够登录并查看所需的数据。