どうやら「パスワード検索」と「バインド認証」という二つの方法があるようである。
- パスワード検索
- ユーザのuserPassword を検索し、入力を受けたパスワードと照らしあわせて認証を行う方法
- userPasswordを参照できる管理ユーザー的なアカウントが必要
- アプリはそのアカウント情報を使い認証対象のユーザーデータを参照する
- バインド認証
- LDAPに認証対象のユーザーID/パスワードを投げつけて認証が通るかどうかで判断する方法
- アプリ開発者はuserPasswordを参照できる管理ユーザー的なアカウントが無くてもおk
前者のパスワード検索による認証方法はLDAPが返すパスワードがHash化されているので同じくHash化して照らし合わせる。なんつーか後者がいいらしいっす。