复现流程
1.ldap服务器开启null bind功能
2.doris开启ladp认证
3.通过空密码登录任意ldap账户
通过空密码登录:
原因:
ldap在开启null bind情况下以空密码会自动转换为匿名用户登录,这种情况被判定为密码正确,同时因为使用的用户名为实际存在,所以也能通过ldap admin账户正确的找到对应用户.导致最终可以通过空密码登录任何ldap账户
这个问题我们目前通过修改源码禁止ldap空密码登录来解决做了一定的处理,想请教下这个问题后续会进行修复么
