Como usar as senhas hash (e salgadas) SHA-256 do OpenLDAP em pam_ldap?

Navegue suas respostas
3

Eu tenho senhas hashed e salgadas no OpenLDAP para login via PAM no Linux. A configuração funciona quando os hashes são do tipo SHA-1 (salgados ou sem sal) ou texto simples. Nesses casos, tudo funciona bem e um usuário pode fazer login com essas credenciais.

Se eu alternar para senhas salgadas SHA-256 (SSHA-256), o usuário não poderá fazer login com a senha correta. Provavelmente pam_ldap não entende SHA-256? Não consigo encontrar nenhuma documentação indicando essa restrição, mas também não consigo encontrar exemplos de configuração que mostrem que isso é possível.

O que tenho que fazer? Configurar / compilar o pam_ldap para o SHA-256? Use algo além do PAM?

Eu sou forçado a usar o SHA-256 salgado, pois as credenciais já estão presentes em outro datastore (líder) e precisam ser sincronizadas com o OpenLDAP.

    
por mailq 09.11.2015 / 10:29

1 resposta

1

ver a função CRYPT? link

Autenticação de passagem do OpenLDAP

O OpenLDAP também pode usar processos externos para verificar e criptografar senhas. Esses esquemas são:

CRYPT - usará a biblioteca de criptografia do SO como manipulador de senha SASL - usará o Cyrus SASL como manipulador de senhas O Cyrus SASL foi atualizado pela última vez em 2012, mas o CRYPT faz parte da API do POSIX e deve ser continuamente atualizado. Então - o CRYPT pode nos fornecer um hash atualizado?

Cripta para o resgate

Acontece que a versão glibc baseada em Linux da criptografia suporta esquemas adicionais de criptografia através de um esquema de versionamento adicional codificado no hash da senha, às vezes chamado de formato de criptografia modular:

1 - MD5 2a - Blowfish / bcrypt 5 - SHA-256 6 - SHA-512

    
por 08.06.2017 / 08:02

Tags

Quem acionou minha tarefa agendada? Samba share, escrever desempenho