Puede usar 'password-hash' para cambiar el algoritmo hash, el predeterminado es SSHA (texto no claro).
Tenga en cuenta que, slapd utiliza lo anterior solo si la contraseña enviada por los clientes está en texto sin formato, si su cliente está enviando una contraseña hash, se almacenará tal como está.
por ejemplo: con pam_ldap, utilice EXOP pam_password (o transparente)
cómo es pruebas de seguridad de contraseña se ejecutan en el servidor si la contraseña está entrando hash y sé que es una característica revendedores OpenLDAP ?
Si después de enviar las contraseñas hash, slapd no puede realizar pruebas de resistencia, por lo que los clientes deben enviar las contraseñas en texto claro (pPolicy tiene la opción de aceptar/rechazar hash de contraseña).
Nota:
- asegurarse de que sus clientes utilizan SSL/TLS (por lo que los passwds no se envían en texto sin cifrar)
- atributo userpassword contiene caracteres especiales ({}) por lo que tiene que hacer una base 64 -d para identificar el algoritmo hash utilizado.
por ejemplo: normalmente se devuelven los atributos en el siguiente formato (:: indican el resultado es base64)
userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ=
=
$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==
Vale la pena señalar aquí para otros: el almacenamiento de contraseñas hash en su base de datos de autenticación (LDAP, AD o cualquier otra cosa) no es la panacea de seguridad que parece ser . SASL mejora drásticamente la seguridad a través del cable (a través de la red), pero requiere que la contraseña original esté disponible para ambos extremos del enlace. Por lo tanto, la compensación es una mejor seguridad en el almacén de datos (hash) en contra de una mejor seguridad sobre el cable (SASL). –
De 'man slapo-ppolicy': especifique que las contraseñas de texto sin cifrar presentes en las solicitudes de Agregar y Modificar deben ser hash antes de almacenarse en la base de datos. Esto infringe el modelo de información X.500/LDAP, pero puede ser necesario para compensar a los clientes LDAP que no utilizan la operación ampliada de modificación de contraseña para administrar las contraseñas. –