使用OpenLDAP在Web App中进行身份验证

问题描述 投票:1回答:1

我们正在构建一个连接到数据库并进行数据可视化的Web应用程序。它可能有大约300个用户。我们将使用docker部署它。

为了提高安全性,我们希望使用openLDAP服务器为我们存储用户凭据。理由是,它是一个经过试验和测试的软件,比我们自己编写代码的任何东西都更安全,我们不必为哈希算法,盐等等而烦恼。此外,我们可以直接在LDAP中分配角色。

我们正在考虑以下架构(我们必须使用一个服务器): - 一个带有web应用程序的docker容器 - 一个运行数据库的docker容器 - 一个运行openLDAP服务器的docker容器

我的问题: - 是适合的openLDAP(或一般的LDAP),还是有另一种解决方案将认证封装在久经考验的包中? (鉴于LDAP主要是为高并发负载而构建的,我们没想到)? - 使用docker,从而封装服务,一般会增加安全性(假设正确实现)?

非常感谢!

docker authentication ldap openldap user-management
1个回答
0
投票

是的,OpenLDAP - 以及一般的LDAP - 适用于用户名/密码身份验证,并且您在同一个程序包中获得标准密码哈希和密码策略实施。这些LDAP功能中的大多数都是在IETF上标准化的,因此您可以从所有优秀的LDAP服务器产品中获得相同的功能,包括特别是OpenLDAP。

主要参考:

从安全角度来看,使用Docker或其他类型的容器(例如LXC)总是一件好事,因为它提供了一种隔离容器(因此内部运行的应用程序)与其他容器以及默认情况下从主机隔离的形式。然而,它在很大程度上取决于您的配置和环境,有许多方法可以放松容器隔离(例如,启用某些功能,安装共享卷等)。特别是Docker守护进程必须得到适当的保护,因为它是一个拥有并需要一般特权访问才能完成其所有强大功能的进程。通过将Docker本机安全功能与内核安全功能(例如,内核安全功能)相结合,可以进一步提高Docker安全性。 SELinux,AppArmor,grsec等。有关Docker Security的更多信息。

© www.soinside.com 2019 - 2024. All rights reserved.