Możesz użyć "hash-hash", aby zmienić algorytm haszowania, domyślny to SSHA (nie jest to czysty tekst).
Należy zauważyć, że slapd używa powyższego, tylko jeśli hasło wysłane przez klientów jest w postaci zwykłego tekstu, jeśli klient wysyła zakotwiczone hasło, będzie ono przechowywane w niezmienionym stanie.
dla np: z pam_ldap użyć pam_password exop (lub jasne)
Jak to testy wytrzymałościowe hasło uruchomić na serwerze, czy hasło jest w najbliższych Hashed i wiem, że to funkcja openldap naganiacze ?
Jeśli wysłał zakodowane hasła, slapd mogę wykonać testy wytrzymałościowe, więc klienci muszą wysłany haseł w postaci zwykłego tekstu (ppolicy ma możliwość akceptowania/odrzucania zaszyfrowany hasłem).
Uwaga:
- upewnić się, że klienci używają SSL/TLS (tak passwds nie są przesyłane w postaci zwykłego tekstu)
- atrybut userPassword zawiera znaki specjalne ({}), więc trzeba zrobić base64 -d do identyfikacji używanego algorytmu mieszania.
np normalnie atrybuty są zwracane w następującym formacie (:: wskazywać wynik jest zakodowane base64)
userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ=
=
$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==
Warto zauważyć tutaj dla innych: przechowywanie zaszyfrowanych haseł w bazie danych uwierzytelniania (LDAP, AD lub cokolwiek innego) nie jest w pełni panaceum bezpieczeństwa, które wydaje się być . SASL znacznie poprawia bezpieczeństwo w sieci (przez sieć), ale wymaga, aby oryginalne hasło było dostępne dla obu końców łącza. Tak więc kompromisem jest lepsze zabezpieczenie w magazynie danych (hashing) przed lepszym zabezpieczeniem przez sieć (SASL). –
From 'man slapo-ppolicy': Określa, że hasła jawnego tekstu występujące w żądaniach Dodaj i Modyfikuj powinny zostać zaszyfrowane przed ich zapisaniem w bazie danych. Jest to niezgodne z modelem informacyjnym X.500/LDAP, ale może być potrzebne do skompensowania klientów LDAP, którzy nie używają rozszerzonej operacji Password Modify w celu zarządzania hasłami. –