Can nss / pam ldap envia a senha para o servidor ldap já hashed?

Uma alternativa seria usar o Kerberos5 em vez de uma simples ligação LDAP simplesmente via pam_krb5 apenas para autenticação. libniss só usaria o LDAP para resolver usuários. Dessa forma, há pelo menos nenhuma transmissão de senha de texto simples, mas todas as consultas LDAP são naturalmente transmitidas em texto simples - Observe que a conta necessária para o simples bind consultar o diretório deve ser Domain Guest ou alguma conta altamente não privilegiada etc. p>

Isso também é trivial para fazer.

Não, porque tudo o que um invasor precisaria fazer para representar um usuário seria obter o hash, sem a necessidade de decifrá-lo, tornando inútil o aspecto hash do armazenamento de senha.

A abordagem que satisfaria esse tipo de necessidade seria algum tipo de autenticação de desafio / resposta ( CHAP , HMAC , NTLM ..), que eu não acredito ser uma opção em uma conexão LDAP bruta.

O SSL é realmente fácil de ativar em um controlador de domínio - é automático se ele tiver um certificado apropriado - por isso, sugiro que você convença os responsáveis a seguir esse caminho.

O envio de senhas pré-codificadas é uma idéia terrível. O servidor de diretório não pode forçar a qualidade da senha sem conhecer a senha - essa falta de capacidade é, por si só, um fator decisivo em qualquer ambiente que não seja o mais trivial. Se o servidor do servidor de diretórios não puder suportar comunicação criptografada, ele não deverá ser usado para esse tipo de aplicativo crítico.