如何在openLDAP中启用密码散列(SSHA)

Question

对于我的生活,我似乎无法在任何地方找到这个,如果有人甚至可以给我一个链接,我会非常感激.

我们正试图在openLDAP中启用SSHA哈希.默认情况下,它以明文形式存储密码,我认为这是犯罪行为,但是嘿,我是AD的家伙,所以我知道什么.但是如果您愿意的话,您会认为它们可以让您轻松找到打开哈希所需的信息.你不会选择吗？

Answer 1

您可以使用'password-hash'来更改散列算法,默认的是SSHA(不是明文).

请注意,仅当客户端发送的密码是纯文本时,slapd才使用上述内容,如果客户端发送散列密码,则会按原样存储.

例如:使用pam_ldap,使用pam_password exop(或清除)

如果密码进入哈希值,密码强度测试如何在服务器上运行,我知道这是openLDAP的功能吗？

如果您发送了散列密码,则slapd无法执行强度测试,因此客户端必须以明文形式发送密码(ppolicy具有接受/拒绝散列密码的选项).

注意:

1. 确保您的客户使用ssl/tls(因此密码不会以明文形式发送)
2. userpassword属性包含特殊字符({}),因此您必须执行base64 -d来标识所使用的散列算法.

例如:通常以下列格式返回属性(::表示结果是base64编码的)

userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ=
 =

$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==