在LDAP中使用电子邮件和密码对用户进行身份验证

我是LDAP新手，正在开发一个使用LDAP进行身份验证的应用程序。 是否有一种使用电子邮件和密码对LDAP中的用户进行身份验证的方法？ 或者我只能通过以下方式来实现：

通过给定的电子邮件获取用户的DN

使用DN和密码绑定用户

---

是否有允许LDAP使用其他字段来验证用户身份的配置选项？

如果您计划让应用程序将目录服务用作外部用户存储，欢迎来到启用目录的应用程序世界。应用程序不必为用户建立LDAP会话。通常，应用程序将使用一个服务帐户与目录服务建立LDAP会话。当用户登录到您的应用程序时，您的身份验证模块将使用某些唯一属性（uid、mail等）查找用户条目，以便进行简单的身份验证（密码哈希比较）

这在很大程度上取决于您的基础架构

---

编辑：将此技术称为密码比较身份验证。

您必须遵循您所述的两个步骤。@EJP，好的，非常感谢。对于绑定，您需要thr用户的DN和与其关联的密码。所以这不是一个单一的属性。这就是为什么你需要这两个步骤。首先使用电子邮件查找DN，然后使用该DN进行登录。但有些目录（如广告）允许使用电子邮件地址。但那不是ldap！否。应用程序必须在查找用户后以用户身份尝试绑定。LDAP服务器用于检查密码并执行与绑定相关的任何操作。这就是它的目的。否则，服务器没有机会检查密码过期、帐户锁定、密码必须重置、密码失败次数过多等。我的LDAP目录中的用户帐户（~200k，不是AD）大多是从元目录设置的，有些是自助服务的。没有人根据我的日志文件进行绑定，只显示服务帐户。我们的SAP顾问似乎喜欢这种方式。我想这只是一种方法，It安全似乎已经认可了这一点。请注意，连接是昂贵的，正确进行的搜索是便宜的。我应该担心吗？；-）在政策执行方面，你说得有道理。在我的网站上，所有漂亮的特性都是由身份验证模块实现的，该模块使用我的目录作为用户存储。这要看情况，就像我说的。我当然可以提升我的复制拓扑，以应对数千个短期用户会话，但现在我不必这样做。实现应该遵循需求分析。我们这里不是咨询，这更像是想法钓鱼。遵循EJP的建议。@marabu因此，在您缺乏密码策略的特定情况下，您的特定it安全人员似乎已经批准了此错误，假设他们已经注意到。这并不意味着它适合每个人。这甚至不能让它适合你。这是一个编程错误，也是一个It安全错误：他们应该注意到这一点，并且应该反对它。