Temos uma rotina de sincronização automatizada que usa useradd para criar novos usuários em uma máquina Ubuntu 10.04. O aplicativo que iniciou a rotina forneceu o nome de usuário e a senha CRYPT -criptografada. No entanto, como alteramos a forma como as senhas são tratadas para incluir o suporte ao LDAP, as senhas agora não precisam ser CRYPT , mas também podem ser MD5 ou SHA-1 . De fato, SHA-1 é o novo padrão. Isso, no entanto, agora causa problemas.
Eu li sobre como /etc/shadow é tratado e parece não haver um id para SHA-1 , apenas para SHA-256 / SHA-512 ( $5$ e $6$ respectivamente). A única coisa que encontrei foi mudar a coisa toda de CRYPT para SHA-1 . Poderíamos fazer isso, mas queríamos que toda a transição fosse a mais descomplicada possível.
Existe uma maneira de usar as senhas CRYPT e SHA-1 juntas?
NOTES
- O aplicativo principal é um CMS em um servidor totalmente diferente. O servidor linux em questão é uma máquina local (escrava) no local do cliente para fornecer serviços locais.
- Estamos cientes de que poderíamos alternar todo o sistema para usar somente LDAP, mas, conforme descrito anteriormente, não queremos alterar tudo de uma vez.
Por que não autenticar aqueles usuários para os quais você só tem um hash SHA-1 sem sal de sua senha por outro meio que não seja /etc/shadow .
Usando o PAM, você pode ter quantos módulos de autenticação desejar e empilhá-los como quiser. Você pode manter pam_unix.so para alguns usuários e usar pam_ldap.so para o restante.
Tags password encryption users shadow