Can nss / pam ldap envia a senha para o servidor ldap já hashed?

4

Eu tenho nss & pam configurado para que eu possa autenticar usuários do linux via LDAP contra o servidor AD da minha empresa. Tudo funciona bem, exceto senha são enviados em texto simples. Por razões fora do meu controle, nosso servidor AD não suporta ssl / tls e eu não acho que posso convencê-los a ativá-lo. É possível configurar isso para que as senhas sejam criptografadas antes de serem enviadas. Então, em outras palavras, AD armazena senhas hash então por que não posso simplesmente configurar nss & pam ldap para enviar a senha já hash e então o hash ser comparado no servidor ldap. Acho que configurei outros pacotes de software para fazer isso no passado ...

    
por startoftext 12.08.2011 / 19:58

3 respostas

4

Uma alternativa seria usar o Kerberos5 em vez de uma simples ligação LDAP simplesmente via pam_krb5 apenas para autenticação. libniss só usaria o LDAP para resolver usuários. Dessa forma, há pelo menos nenhuma transmissão de senha de texto simples, mas todas as consultas LDAP são naturalmente transmitidas em texto simples - Observe que a conta necessária para o simples bind consultar o diretório deve ser Domain Guest ou alguma conta altamente não privilegiada etc. p>

Isso também é trivial para fazer.

    
por 12.08.2011 / 20:22
4

Não, porque tudo o que um invasor precisaria fazer para representar um usuário seria obter o hash, sem a necessidade de decifrá-lo, tornando inútil o aspecto hash do armazenamento de senha.

A abordagem que satisfaria esse tipo de necessidade seria algum tipo de autenticação de desafio / resposta ( CHAP , HMAC , NTLM ..), que eu não acredito ser uma opção em uma conexão LDAP bruta.

O SSL é realmente fácil de ativar em um controlador de domínio - é automático se ele tiver um certificado apropriado - por isso, sugiro que você convença os responsáveis a seguir esse caminho.

    
por 12.08.2011 / 20:14
0

O envio de senhas pré-codificadas é uma idéia terrível. O servidor de diretório não pode forçar a qualidade da senha sem conhecer a senha - essa falta de capacidade é, por si só, um fator decisivo em qualquer ambiente que não seja o mais trivial. Se o servidor do servidor de diretórios não puder suportar comunicação criptografada, ele não deverá ser usado para esse tipo de aplicativo crítico.

    
por 15.08.2011 / 12:15