Solución:
Puede usar ‘contraseña-hash’ para cambiar el algoritmo hash, el predeterminado es SSHA (no texto sin cifrar).
Tenga en cuenta que slapd usa lo anterior solo si la contraseña enviada por los clientes está en texto sin formato, si su cliente está enviando una contraseña hash, se almacenará como está.
por ejemplo: con pam_ldap, use pam_password exop (o borrar)
¿Cómo se ejecutan las pruebas de seguridad de la contraseña en el servidor si la contraseña viene en hash y sé que es una característica que promociona openLDAP?
Si envió contraseñas con hash, slapd no puede realizar pruebas de seguridad, por lo que los clientes deben enviar las contraseñas en texto sin cifrar (ppolicy tiene la opción de aceptar / rechazar la contraseña con hash).
Nota:
- asegúrese de que sus clientes usen ssl / tls (para que las contraseñas no se envíen en texto sin cifrar)
- El atributo userpassword contiene caracteres especiales ({}) por lo que debe hacer una base64 -d para identificar el algoritmo hash utilizado.
por ejemplo: normalmente los atributos se devuelven en el siguiente formato (:: indica que el resultado está codificado en base64)
userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ=
=
$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==
La especificación LDAP requiere contraseñas de texto sin formato para la interoperabilidad. El enlace proporcionado anteriormente sobre seguridad le dará la opción de tipos de hash predeterminados que el servidor puede hacer cumplir, pero tenga en cuenta las implicaciones.
Cuando trataste de almacenar userPassword
atributo en agregar / modificar operaciones LDAP, userPassword
el valor se almacena como texto sin formato. Pero puede anular este comportamiento usando ppolicy_hash_cleartext
opción en ppolicy
módulo de superposición en OpenLDAP. Una vez que lo habilita, cuando el cliente envía una contraseña de texto sin formato, se almacena como SSHA
por defecto. Puede encontrar más detalles sobre cómo habilitar la contraseña hash en OpenLADP desde aquí