( _zb_ | 2020. 04. 04., szo - 17:36 )

Az utobbi par napban eleg sokat olvastam meg teszteltem LDAP temaban, mert sajnos ma meg megkerulhetetlen. Tobbszor is belefutottam ehhez hasonlo felvetesbe.

Pl Most be kell kotnom egy LDAP-ot Keycloak moge, mert a Nexus repo manager (free verzioja) nem tamogat SSO-t. Abba a problemaba futottam bele, hogy ha letrehozok egy uj felhasznalot Keycloak-ban, akkor ugyan szepen letrehozza a felhasznalot LDAP-ban is, de a jelszot clear text-kent tarolja.

Valaki nyitott erre egy ticketet a keycloak bug tracker-ben, es eleinte ugy tunt, hogy lesz valtozas es csak a jelszo hash-t adjak at az LDAP-nak. De aztan a fejlesztok nagyon gyorsan meggyoztek magukat, hogy ez nem az o dolguk, ezt LDAP oldalon kell megoldani. A menobb cuccok ezt ugyis csinaljak alapbol (Windows AD, FreeIPA) a tobbibe meg megoldhato (ApacheDS, OpenLDAP).

Nem ertek egyet veluk. Az LDAP szervert egy alapvetoen buta, egyszeru cucckent kellene kezelni. Mentse el amit kap, adja vissza amit kerdeznek. De funkciokat vegrehajtani meg adatot transzformalni szerintem nem feladata.

Ugyanez igaz a memberof funkciora is. Csak hat ugye baromi kenyelmes egyetlen user attributumot vizsgalni a csoportok helyett az app oldalon.
Habar azt is hozza kell tenni, hogy ha jol tudom, akkor a memberof-ra van valami optimalizacio igy sok meg nagy csoportok eseten gyorsabb a memberof mint csoportokba nezegetni.