encryption - KeyCloak 用户凭证加密

Question

我正在使用 KeyCloak 自动将包含的用户导入现有的 LDAP。现在，我需要知道 KeyCloak 如何与 LDAP 通信。具体来说，KeyCloak 如何将密码传递给 LDAP 以验证用户凭据。

我试图在整个互联网上搜索，但找不到有关此的论坛、博客或文档。我需要这个来通过我们的安全要求。

Answer 1

这取决于使用的协议(protocol)。

添加 LDAP 用户联合时，可以同时使用 ldap和 ldaps协议(protocol)。

当设置 Connection URL至ldap://ldapserver.domain.com ,
ldap使用协议(protocol)并且 Keycloak 通过端口 389(默认情况下)与服务器通信，这意味着从 LDAP 服务器提取的所有数据都将通过纯文本，包括每当发出身份验证请求时的密码。

另一方面，设置 Connection URL至ldaps://ldapserver.domain.com , 将使用 LDAP over SSL/TLS (不要与 LDAP+STARTTLS 混淆，后者是另一种加密 LDAP 通信的方式)并且 Keycloak 通过端口 636(默认情况下)与服务器通信。这意味着 Keycloak 和 LDAP 服务器之间的所有通信都将通过加密的 SSL/TLS 隧道进行，类似于浏览器和 HTTPS 的方式。网站交流。

14.3.4. Connect to LDAP over SSL

When you configure a secured connection URL to your LDAP store(for example ldaps://myhost.com:636 ), Keycloak will use SSL for the communication with LDAP server. ...

关于密码，这似乎是 OP 的具体关注点，根据文档，密码按原样发送到提供者，当然如果 ldaps 则通过加密的 TLS 隧道传输。用来。

14.3.7. Password Hashing

When the password of user is updated from Keycloak and sent to LDAP, it is always sent in plain-text. This is different from updating the password to built-in Keycloak database, when the hashing and salting is applied to the password before it is sent to DB. In the case of LDAP, the Keycloak relies on the LDAP server to provide hashing and salting of passwords.

Most of LDAP servers (Microsoft Active Directory, RHDS, FreeIPA) provide this by default. Some others (OpenLDAP, ApacheDS) may store the passwords in plain-text by default and you may need to explicitly enable password hashing for them. See the documentation of your LDAP server more details.