È possibile utilizzare 'password-hash' per modificare l'algoritmo di hashing, quello predefinito è SSHA (non chiaro).
Si noti che, slapd utilizza quanto sopra solo se la password inviata dai client è in testo normale, se il client sta inviando una password con hash, verrà memorizzata così com'è.
per esempio: con pam_ldap, utilizzare exop pam_password (o trasparente)
come è prove di resistenza della password eseguiti sul server se la password è in arrivo hash e so che è una caratteristica bagarini OpenLDAP ?
Se hai inviato le password hash, slapd non posso eseguire prove di resistenza, in modo che i clienti devono inviare le password in chiaro (ppolicy ha l'opzione di accettare/rifiutare hash password).
Nota:
- assicurarsi che i client utilizzano SSL/TLS (in modo che il passwd non vengono inviati in chiaro)
- userPassword contiene caratteri speciali ({}) in modo da avere a che fare un base64 -d per identificare l'algoritmo di hash utilizzato.
es: normalmente gli attributi vengono restituiti nel seguente formato (:: indicano il risultato è codificata base64)
userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ=
=
$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==
Vale la pena notare qui per altri: memorizzare le password hash nel proprio database di autenticazione (LDAP, AD o qualsiasi altra cosa) non è proprio la panacea di sicurezza che sembra essere . SASL migliora notevolmente la sicurezza sul cavo (attraverso la rete), ma richiede che la password originale sia disponibile per entrambe le estremità del collegamento. Quindi il compromesso è una migliore sicurezza nel datastore (hashing) contro una migliore sicurezza sul filo (SASL). –
Da 'man slapo-ppolicy': Specificare che le password in chiaro presenti nelle richieste Aggiungi e Modifica devono essere sottoposte a hashing prima di essere archiviate nel database. Ciò viola il modello di informazioni X.500/LDAP, ma potrebbe essere necessario per compensare i client LDAP che non utilizzano l'operazione estesa Password Modifica per gestire le password. –