Eu me deparei com um problema com hashing de senha pam. Parece que não importa o que eu faça em meus sistemas baseados em RHEL, eles sempre têm senhas hash baseadas no MD5.
Meu objetivo aqui é fazer com que os usuários do ldap que usam o comando passwd(1) tenham sua senha alterada no servidor ldap remoto. Atualmente isso funciona bem, mas precisamos que o hash pare para que o servidor ldap possa impor uma política de senha. Se usarmos um ldapmodify , tudo funcionará bem e como esperado. É apenas quando usamos passwd(1) que é sempre hash com MD5.
Queremos que as senhas no arquivo shadow continuem a ser fragmentadas. Mas não aqueles que passam por pam_ldap.so .
Nós tentamos o seguinte:
/etc/login.defs . /etc/pam_ldap.conf ou /etc/ldap.conf , fizemos pam_password definido como clear em vez de md5 . /etc/pam.d/passwd nos direciona para system-auth . Tentamos remover o hash md5 na linha pam_unix.so . O pam_ldap.so fica abaixo dele na seção de senha. authconfig --update --disablemd5
Eu tenho feito pequenos progressos, mas mesmo usando authconfig e mudando o hash para o sha512 ao invés do md5 não funciona. O formato do hash muda, mas quando ele é codificado em base64, é MD5 novamente.