django-python3-ldap TLS crittografa le password di AD quando il sito è ospitato su http

0

Ho implementato django-python3-ldap e AD integrato con il mio progetto Django. Il progetto sarà ospitato su IIS come sito intranet servito esclusivamente su http. Sto decidendo tra l'utilizzo di questa soluzione o il RemoteUserBackend di Django. L'utilizzo dell'autenticazione IIS significherebbe abilitare l'autenticazione di Windows e disabilitare l'autenticazione anonima. Al contrario, l'uso della soluzione Django significherebbe abilitare l'autenticazione anonima e disabilitare l'autenticazione di Windows.

L'utilizzo di RemoteUserBackend con IIS e l'abilitazione dell'autenticazione di Windows impedisce l'invio di password di testo in chiaro attraverso la rete (credo). Accade la stessa cosa quando imposto LDAP_AUTH_USE_TLS = True e il mio LDAP_AUTH_URL punta a un controller di dominio LDAPS ? L'utilizzo di queste impostazioni collega e autentica correttamente gli utenti.

È più sicuro (tutti i parenti, lo so) utilizzare questa soluzione o la soluzione IIS RemoteUserBackend? Una connessione LDAP conta solo se il sito è server su https?

    
posta OverflowingTheGlass 02.02.2018 - 18:29
fonte

1 risposta

2

Se si configura il server Web con HTTP, la password non sarà protetta. L'impostazione di LDAP_AUTH_USE_TLS=True copre solo la protezione della connessione tra la parte lato server dell'applicazione Web e il server LDAP e non aiuta a proteggere la connessione tra browser e server web.

    
risposta data 02.02.2018 - 19:20
fonte

Leggi altre domande sui tag