Wie schalten Sie den Passwort-hashing (SSHA) in openLDAP
Für das Leben von mir, ich kann nicht scheinen zu finden, das überall und wenn jemand kann auch nur mir ein link geben wäre ich sehr dankbar.
Wir versuchen zu schalten SSHA hashing in openLDAP. Standardmäßig speichert Passwörter im Klartext, was ich denke, ist kriminell, aber hey, ich bin ein AD-Kerl, also, was weiß ich. Aber Sie würden denken, dass Sie machen es leicht zu finden die Informationen, die benötigt werden, um wiederum auf hashing, wenn Sie so wählen. Und würden Sie nicht wählen?
Erwähnenswert ist hier für die anderen: die Speicherung von Hash-Passwörter in Ihrer Datenbank-Authentifizierung (LDAP, AD oder sonst was) ist nicht ganz die Sicherheit Allheilmittel scheint es zu sein. SASL dramatisch verbessert die Sicherheit über das Netzwerk (über das Netzwerk), aber erfordert, dass das ursprüngliche Kennwort vorhanden sein, um beide enden der Verbindung. Also der Nachteil ist eine höhere Sicherheit im datastore (hashing) gegen eine höhere Sicherheit über die Leitung (SASL).
Von
Von
man slapo-ppolicy
: Angeben, dass Klartext-Passwörter vorhanden Hinzufügen und Ändern von Anforderungen sollten zerlegt werden, bevor Sie in der Datenbank gespeichert. Dies verstößt gegen die X. 500/LDAP information model, aber möglicherweise erforderlich, um eine Kompensation für LDAP-clients, die nicht mit der Passwort-Ändern-erweiterte Bedienung zum verwalten von Kennwörtern.InformationsquelleAutor Sevil Natas | 2012-07-31
Du musst angemeldet sein, um einen Kommentar abzugeben.
Können Sie "Passwort-hash" zu ändern Sie den Hash-Algorithmus, der Standard ist SSHA (nicht Klartext).
Beachten Sie, dass slapd verwendet die oben nur, wenn das Passwort gesendet von clients im Klartext, wenn der client das senden einer Hash-Passwort, es wird gespeichert, wie Sie ist.
zB: mit pam_ldap, verwenden Sie pam_password exop (oder deaktivieren)
Wenn Sie gesendet, Hash-Passwörter, slapd kippe durchführen von Festigkeitsprüfungen, so müssen die clients verschickt Passwörter im Klartext(ppolicy hat die option zum akzeptieren/ablehnen von Hash-Passwort).
Hinweis:
zB: normalerweise sind die Attribute, die zurückgegeben werden im folgenden format (:: zeigt das Ergebnis ist base64-codiert)
InformationsquelleAutor Najmuddin
Den LDAP-Spezifikation erfordert nur-Text-Kennwörter für die Interoperabilität. Den link oben an Sicherheit geben Ihnen die Möglichkeit, für Standard-hash-Typen, die der server erzwingen können, aber betrachten Sie die Auswirkungen.
InformationsquelleAutor jeffmedcalf
Wenn man versucht zu speichern
userPassword
Attribut hinzufügen/ändern LDAP-OperationenuserPassword
Wert als Klartext gespeichert. Aber Sie können dieses Verhalten überschreiben mitppolicy_hash_cleartext
option inppolicy
overlay-Modul in OpenLDAP. Sobald Sie es zu aktivieren, wenn der client schickt eine plain-text-Passwort, es ist gespeichert alsSSHA
standardmäßig. Finden Sie weitere details zum aktivieren der Passwort-hash in OpenLADP von hierInformationsquelleAutor Asela
OpenLDAP unterstützt eine Vielzahl von Speicher-Systeme für den administrator zur Auswahl. Das Werkzeug, das Sie verwenden, um Konten erstellen muss konfiguriert werden, die hashing. Dem server wird die Speicherung der Passwörter im format der client-Anfragen. Wenn das hashing richtig gemacht wird, ldapsearch zeigt die Hash-Passwörter wie diese:
Sehen http://www.openldap.org/doc/admin24/security.html für details.
Wenn es um die Verwaltung würde ich persönlich empfehlen http://phpldapadmin.sourceforge.net
Warten Sie, wie wird die Passwort-Stärke-tests laufen auf dem server, wenn das Passwort kommt, Hash-und ich weiß, dass ist ein feature openLDAP wirbt?
LDAP ist nur ein Verzeichnis. Die Durchsetzung von Passwort-Richtlinien ist bis auf die Authentifizierungsebene nicht die storage-Schicht. Wirklich, das ist wie der UNIX-Welt funktioniert, gibt es ein tool, das nicht nur eine Sache und tut es auch. Zur Durchsetzung von Kennwortrichtlinien, die Sie benötigen, um das tool konfigurieren, dass Ihre Benutzer verwenden, um Ihr Passwort zu ändern, sei es ein web-interface oder eine Befehlszeilen-Dienstprogramm. Ich verstehe, dass dies schwer zu glauben, dass es keine "zentrale", was tut alles, aber das ist die Idee der Modularität.
Wenn Sie möchten, eine vollständige Lösung mit alles konfiguriert, out of the box und ein admin-interface oben drauf, überlegen Sie sich mit FreeIPA . Es verfügt über LDAP (RedHat version nicht OpenLDAP), Kerberos etc alle vor-konfiguriert, miteinander zu arbeiten und ein ordentliches web-interface oben auf alles. freeipa.org gibt Es eine Einschränkung: Sie müssen führen Sie es auf Fedora oder RedHat EL
Danke an alle, wir habe es funktioniert. Unsere openLDAP ist nun die Handhabung der hashing (ssha) eingehende Passwörter und Authentifizierung gegen das gehashte Passwort. Es scheint, die weniger verwendet oder konfiguriert werden, sobald und Links, um "nur Arbeit" Funktionen von LDAP ist spärlich in Verweise und domain-know-how. Ich war nur in der Lage zu finden, eine single-link-nach Stunden von Googeln, das war zum Glück die einzige, die ich brauchte. Requisiten, um Najmuddin, dass ich ein Teil davon. Preis geht an ihn.
InformationsquelleAutor anttix