Como pbkdf2 (Função de derivação de chave baseada em senha 2) é uma função de hash mais segura, pergunto-me se a implementação de openldap atual suporta pbkdf2 (pbkdf2_sha256 por exemplo)?
Encontrei algumas informações no google sobre o suporte ao pbkdf2 no openldap, mas não tenho certeza de qual versão do openldap se aplica ou não faço da maneira correta:
Eu construí um servidor openldap com a versão 2.4.28 no ubuntu 12.04 e uso o python lib para gerar uma senha com hash PBKDF2-SHA256. Então eu coloquei essa senha PBKDF2-SHA256 em um campo userPassword do novo usuário ldap da seguinte forma:
userPassword: '{PBKDF2-SHA256}10000$LBwTpUPGqxdH$8pDqhAruY94IhhuCZLost471pGImy//wH0pS25LO/YI='
Isso não funcionou. Nenhum erro relatado no log ldap, mas ainda não é possível fazer o login com a senha original em texto simples.
Eu agradeceria muito se alguém pudesse gentilmente me dar algum comentário ou direção !!
Atualmente, o módulo OpenLDAP PBKDF2 suporta apenas PBKDF2-SHA1. O nome do esquema é {PBKDF2}. Provavelmente, ele tem compatibilidade com o Python Passlib. Eu tenho roteiro para PBKDF2-SHA256 e PBKDF2-SHA512. mas ainda não implementado.
EDIT: Agora suportado PBKDF2-SHA256 e PBKDF2-SHA512. link
Só para garantir, por favor, verifique o seguinte:
Você incluiu as diretivas moduleload pw-pbkdf2.so e password-hash {PBKDF2} no seu slapd.conf ?
O módulo carregou corretamente de acordo com seus arquivos de registro?
Você pode gerar senhas pbkdf2-hashed digitando slappasswd
Você recebe algum tipo de entrada no seu arquivo de registro referente à tentativa de autenticação com falha?