Мы хотели бы интегрировать наш сервис с LDAP, но из-за аппаратных ограничений мы разрешаем использовать только четырехзначные идентификаторы пользователей и пароли.
Что было бы лучше всего для выполнения такой аутентификации?
Мы рассмотрели возможность добавления атрибутов User ID и PIN в схему пользователя LDAP, но мы не уверены, насколько люди будут счастливы, изменив свою схему для взаимодействия с нашей службой. Атрибут PIN должен иметь ту же поддержку, что и собственные пароли пользователей. (перемешивание, посол и т. д.)
ОБНОВИТЬ
Еще одно соображение - как ldap_bind работает в этом сценарии. Как заставить его использовать альтернативный метод аутентификации? Можно ли это сделать, не затрагивая другие службы, использующие тот же сервер LDAP?
Вы не должны изменять схему пользователя LDAP, но создайте собственное определение схемы в /etc/openldap/schema/yourservice.schema.
Вы должны получить уникальный OID для своей организации, используя эта форма в IANA Для атрибута синтаксиса помните, что числовые строки имеют OID 1.3.6.1.4.1.1466.115.121.1.36 и что если вы добавляете предельное значение, это нижняя граница, а не предел.