1. Inicio
  2. Pregunta y respuesta
  3. ¿Cómo se activa el hash de contraseñas (SSHA) en openLDAP

¿Cómo se activa el hash de contraseñas (SSHA) en openLDAP

2012-07-31 28 views
5

Por mi vida, parece que no puedo encontrarlo en ningún lado y si alguien me puede dar un enlace lo agradecería mucho.¿Cómo se activa el hash de contraseñas (SSHA) en openLDAP

Estamos intentando activar el hash de SSHA en openLDAP. De forma predeterminada, almacena contraseñas en texto sin formato, lo que creo que es criminal, pero oye, soy un tipo con AD, entonces, ¿qué sé yo? Pero pensaría que facilitarían la búsqueda de la información necesaria para activar hash si así lo desea. ¿Y no elegirías?

Fuente

2012-07-31 Sevil Natas

+1

Vale la pena señalar aquí para otros: el almacenamiento de contraseñas hash en su base de datos de autenticación (LDAP, AD o cualquier otra cosa) no es la panacea de seguridad que parece ser . SASL mejora drásticamente la seguridad a través del cable (a través de la red), pero requiere que la contraseña original esté disponible para ambos extremos del enlace. Por lo tanto, la compensación es una mejor seguridad en el almacén de datos (hash) en contra de una mejor seguridad sobre el cable (SASL). –

+0

De 'man slapo-ppolicy': especifique que las contraseñas de texto sin cifrar presentes en las solicitudes de Agregar y Modificar deben ser hash antes de almacenarse en la base de datos. Esto infringe el modelo de información X.500/LDAP, pero puede ser necesario para compensar a los clientes LDAP que no utilizan la operación ampliada de modificación de contraseña para administrar las contraseñas. –

Respuesta

7

Puede usar 'password-hash' para cambiar el algoritmo hash, el predeterminado es SSHA (texto no claro).

Tenga en cuenta que, slapd utiliza lo anterior solo si la contraseña enviada por los clientes está en texto sin formato, si su cliente está enviando una contraseña hash, se almacenará tal como está.

por ejemplo: con pam_ldap, utilice EXOP pam_password (o transparente)

cómo es pruebas de seguridad de contraseña se ejecutan en el servidor si la contraseña está entrando hash y sé que es una característica revendedores OpenLDAP ?

Si después de enviar las contraseñas hash, slapd no puede realizar pruebas de resistencia, por lo que los clientes deben enviar las contraseñas en texto claro (pPolicy tiene la opción de aceptar/rechazar hash de contraseña).

Nota:

  1. asegurarse de que sus clientes utilizan SSL/TLS (por lo que los passwds no se envían en texto sin cifrar)
  2. atributo userpassword contiene caracteres especiales ({}) por lo que tiene que hacer una base 64 -d para identificar el algoritmo hash utilizado.

por ejemplo: normalmente se devuelven los atributos en el siguiente formato (:: indican el resultado es base64)

userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ= 
= 

$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d 
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==

Fuente

2012-07-31 19:58:59 Najmuddin

+2

Gracias Naj. Tus sugerencias se convirtieron en parte de nuestra solución. Mi comentario sobre la fortaleza de las pruebas en realidad cuestionó a otros que sugirieron que el hashing debería tener lugar antes de enviarlo a LDAP para la autenticación. La declaración anterior fue algo que se me ocurrió y me hizo sospechar del comentario. Gracias de nuevo ... gana para ti mi amigo. –

1

OpenLDAP admite una variedad de esquemas de almacenamiento para que el administrador pueda elegir. La herramienta que usa para crear cuentas debe configurarse para hacer el hash. El servidor almacenará contraseñas en el formato que el cliente solicite. Si hash se hace correctamente, ldapsearch mostrará las contraseñas hash como esta:

userPassword: {SSHA}d0Q0626PSH9VUld7yWpR0k6BlpQmtczb

Ver http://www.openldap.org/doc/admin24/security.html para más detalles.

Cuando se trata de herramientas administrativas yo personalmente recomiendo http://phpldapadmin.sourceforge.net

Fuente

2012-07-31 00:37:04 anttix

+0

¿De verdad? Entonces, usted dice que la única forma de tener hash de contraseñas es hacer que el cliente o, en otras palabras, una fuente externa lo haga. Eso parece menos que óptimo y un poco peligroso. En el mundo de AD, está centralmente hecho y administrado centralmente. Esto es difícil de creer. –

+0

Espera, ¿cómo se ejecutan las pruebas de seguridad de contraseñas en el servidor si la contraseña está entrando en hash y sé que es una característica que abreLDAP? –

+0

LDAP es solo un directorio. La aplicación de las políticas de contraseñas depende de la capa de autenticación, no de la capa de almacenamiento. Realmente así es como funciona el mundo UNIX, hay una herramienta que solo hace una cosa y lo hace bien. Para hacer cumplir las políticas de contraseñas, debe configurar la herramienta que los usuarios usarán para cambiar su contraseña, ya sea una interfaz web o una línea de comando. Entiendo que esto podría ser difícil de creer que no haya algo "central" que haga todo, pero esa es la idea de la modularidad. – anttix

2

La especificación LDAP requiere contraseñas en texto plano para la interoperabilidad. El enlace que se proporciona arriba sobre seguridad le dará la opción de los tipos de hash predeterminados que el servidor puede aplicar, pero considere las implicaciones.

Fuente

2012-07-31 04:17:45 jeffmedcalf

+0

Tiene razón acerca del requisito de enviar texto sin formato. Supongo que es por eso que OpenLDAP requiere que SL se encienda antes de que uno pueda configurarlo para iniciar las contraseñas hash. Mi pregunta es, ¿por qué permite que uno le envíe contraseñas de texto sin formato con el hashing desactivado? En cuanto a la seguridad, ¿no sería mejor tener activado el hash desde el principio y exigir que el usuario lo desactive? Tipo del modelo BSD, todo cerrado por defecto que requiere que el docente encienda el material peligroso. –

1

Cuando se trató de almacenar userPassword atributo en Añadir/Modificar operaciones LDAP, userPassword el valor se almacena como texto sin formato. Pero puede anular este comportamiento utilizando la opción ppolicy_hash_cleartext en el módulo de superposición ppolicy en OpenLDAP. Una vez que lo habilita, cuando el cliente envía una contraseña de texto sin formato, se almacena como SSHA de manera predeterminada.Puede encontrar más detalles sobre cómo habilitar la contraseña hash en OpenLADP desde here

Fuente

2015-06-26 07:33:57 Asela

Cuestiones relacionadas

 Cuestiones relacionadas