Wie schalten Sie den Passwort-hashing (SSHA) in openLDAP

Für das Leben von mir, ich kann nicht scheinen zu finden, das überall und wenn jemand kann auch nur mir ein link geben wäre ich sehr dankbar.

Wir versuchen zu schalten SSHA hashing in openLDAP. Standardmäßig speichert Passwörter im Klartext, was ich denke, ist kriminell, aber hey, ich bin ein AD-Kerl, also, was weiß ich. Aber Sie würden denken, dass Sie machen es leicht zu finden die Informationen, die benötigt werden, um wiederum auf hashing, wenn Sie so wählen. Und würden Sie nicht wählen?

Erwähnenswert ist hier für die anderen: die Speicherung von Hash-Passwörter in Ihrer Datenbank-Authentifizierung (LDAP, AD oder sonst was) ist nicht ganz die Sicherheit Allheilmittel scheint es zu sein. SASL dramatisch verbessert die Sicherheit über das Netzwerk (über das Netzwerk), aber erfordert, dass das ursprüngliche Kennwort vorhanden sein, um beide enden der Verbindung. Also der Nachteil ist eine höhere Sicherheit im datastore (hashing) gegen eine höhere Sicherheit über die Leitung (SASL).
Von man slapo-ppolicy: Angeben, dass Klartext-Passwörter vorhanden Hinzufügen und Ändern von Anforderungen sollten zerlegt werden, bevor Sie in der Datenbank gespeichert. Dies verstößt gegen die X. 500/LDAP information model, aber möglicherweise erforderlich, um eine Kompensation für LDAP-clients, die nicht mit der Passwort-Ändern-erweiterte Bedienung zum verwalten von Kennwörtern.

InformationsquelleAutor Sevil Natas | 2012-07-31

  1. 8

    Können Sie "Passwort-hash" zu ändern Sie den Hash-Algorithmus, der Standard ist SSHA (nicht Klartext).

    Beachten Sie, dass slapd verwendet die oben nur, wenn das Passwort gesendet von clients im Klartext, wenn der client das senden einer Hash-Passwort, es wird gespeichert, wie Sie ist.

    zB: mit pam_ldap, verwenden Sie pam_password exop (oder deaktivieren)

    wie wird die Passwort-Stärke-tests laufen auf dem server, wenn das Passwort kommt, Hash-und ich weiß, dass ist ein feature openLDAP wirbt?

    Wenn Sie gesendet, Hash-Passwörter, slapd kippe durchführen von Festigkeitsprüfungen, so müssen die clients verschickt Passwörter im Klartext(ppolicy hat die option zum akzeptieren/ablehnen von Hash-Passwort).

    Hinweis:

    1. stellen Sie sicher, dass Ihre Kunden die Verwendung von ssl/tls (also die passwds sind nicht in Klartext gesendet)
    2. userpassword-Attribut enthält Sonderzeichen ({}), so dass Sie zu tun haben, die eine base64 -d zu identifizieren, die den hashing-Algorithmus verwendet.

    zB: normalerweise sind die Attribute, die zurückgegeben werden im folgenden format (:: zeigt das Ergebnis ist base64-codiert) 

    userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ=
 =

$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==
    Dank Naj. Ihre Vorschläge wurden Teil unserer Lösung. Mein Kommentar zum testen der Stärke war eigentlich hinterfragen, andere, die vorgeschlagen, dass die Vermischung stattfinden sollte, vor dem senden an LDAP-auth. Die Aussage oben war etwas, was mir eingefallen ist, dass machte mich stutzig den Kommentar. Nochmals vielen Dank...Sieg geht an dich, mein Freund.

    InformationsquelleAutor Najmuddin

  2. 2

    Den LDAP-Spezifikation erfordert nur-Text-Kennwörter für die Interoperabilität. Den link oben an Sicherheit geben Ihnen die Möglichkeit, für Standard-hash-Typen, die der server erzwingen können, aber betrachten Sie die Auswirkungen.

    Sie sind richtig über die Anforderung zum senden von text. Ich denke, das ist der Grund, warum openLDAP erfordert SL eingeschaltet werden, bevor man es konfiguriert, um zu starten hashing von Passwörtern. Meine Frage ist, warum tut es einem erlaubt, es zu senden, nur-text-Kennwörter mit hashing ausgeschaltet. Sicherheits-Standpunkt her , wäre es nicht besser, hashing eingeschaltet, aus der sich gehen und dass der Benutzer, um es auszuschalten. Art der BSD-Modell, alles standardmäßig geschlossen, Wonach der gelernt, zu drehen, die gefährliche Sachen an.

    InformationsquelleAutor jeffmedcalf

  3. 2

    Wenn man versucht zu speichern userPassword Attribut hinzufügen/ändern LDAP-Operationen userPassword Wert als Klartext gespeichert. Aber Sie können dieses Verhalten überschreiben mit ppolicy_hash_cleartext option in ppolicy overlay-Modul in OpenLDAP. Sobald Sie es zu aktivieren, wenn der client schickt eine plain-text-Passwort, es ist gespeichert als SSHA standardmäßig. Finden Sie weitere details zum aktivieren der Passwort-hash in OpenLADP von hier

    InformationsquelleAutor Asela

  4. 1

    OpenLDAP unterstützt eine Vielzahl von Speicher-Systeme für den administrator zur Auswahl. Das Werkzeug, das Sie verwenden, um Konten erstellen muss konfiguriert werden, die hashing. Dem server wird die Speicherung der Passwörter im format der client-Anfragen. Wenn das hashing richtig gemacht wird, ldapsearch zeigt die Hash-Passwörter wie diese:

    userPassword: {SSHA}d0Q0626PSH9VUld7yWpR0k6BlpQmtczb

    Sehen http://www.openldap.org/doc/admin24/security.html für details.

    Wenn es um die Verwaltung würde ich persönlich empfehlen http://phpldapadmin.sourceforge.net

    Wirklich? Also sagen Sie, dass der einzige Weg, um Passwort-hashing ist es, die Kunden oder in anderen Worten einer externen Quelle zu tun. Das scheint weniger als optimale und ein bisschen gefährlich. In der AD-Welt ist es zentral durchgeführt und zentral verwaltet werden. Das ist schwer für mich zu glauben.
    Warten Sie, wie wird die Passwort-Stärke-tests laufen auf dem server, wenn das Passwort kommt, Hash-und ich weiß, dass ist ein feature openLDAP wirbt?
    LDAP ist nur ein Verzeichnis. Die Durchsetzung von Passwort-Richtlinien ist bis auf die Authentifizierungsebene nicht die storage-Schicht. Wirklich, das ist wie der UNIX-Welt funktioniert, gibt es ein tool, das nicht nur eine Sache und tut es auch. Zur Durchsetzung von Kennwortrichtlinien, die Sie benötigen, um das tool konfigurieren, dass Ihre Benutzer verwenden, um Ihr Passwort zu ändern, sei es ein web-interface oder eine Befehlszeilen-Dienstprogramm. Ich verstehe, dass dies schwer zu glauben, dass es keine "zentrale", was tut alles, aber das ist die Idee der Modularität.
    Wenn Sie möchten, eine vollständige Lösung mit alles konfiguriert, out of the box und ein admin-interface oben drauf, überlegen Sie sich mit FreeIPA . Es verfügt über LDAP (RedHat version nicht OpenLDAP), Kerberos etc alle vor-konfiguriert, miteinander zu arbeiten und ein ordentliches web-interface oben auf alles. freeipa.org gibt Es eine Einschränkung: Sie müssen führen Sie es auf Fedora oder RedHat EL
    Danke an alle, wir habe es funktioniert. Unsere openLDAP ist nun die Handhabung der hashing (ssha) eingehende Passwörter und Authentifizierung gegen das gehashte Passwort. Es scheint, die weniger verwendet oder konfiguriert werden, sobald und Links, um "nur Arbeit" Funktionen von LDAP ist spärlich in Verweise und domain-know-how. Ich war nur in der Lage zu finden, eine single-link-nach Stunden von Googeln, das war zum Glück die einzige, die ich brauchte. Requisiten, um Najmuddin, dass ich ein Teil davon. Preis geht an ihn.

    InformationsquelleAutor anttix

Schreibe einen Kommentar