如何在 OpenLDAP 中启用密码散列?
似乎 OpenLDAP 默认将 password-hash 设置为 {SSHA},但是每当我使用 Apache Directory Studio 在 userPassword 属性中输入明文密码时,它仍然以明文形式存储。我期待它被 OpenLDAP 转换为 SSHA。
我也尝试将password-hash {SSHA} 放入slapd.conf 文件中,但这没有帮助。
【问题讨论】:
当您尝试在添加/修改 LDAP 操作中存储 userPassword 属性时,userPassword 值存储为纯文本。但是您可以使用 OpenLDAP 中 ppolicy 覆盖模块中的 ppolicy_hash_cleartext 选项覆盖此行为。启用后,当客户端发送纯文本密码时,默认存储为 SSHA。您可以从here 找到有关在 OpenLADP 中启用哈希密码的配置详细信息
【讨论】:
当您直接设置属性时,您设置的是实际值,可以散列也可以不散列(正如您已经发现的那样)。
以下内容,引自The FAQ: 首先,使用 'slappasswd' 实用程序生成密码,这样您就可以检查您的 PHP 例程是否正确。 (slappasswd 实用程序是 openldap 发行版的一部分)。 命令
slappasswd -h {SHA} -s supersecretpassword
可能有帮助。
【讨论】:
userPassword 属性的系统/工具不使用slappasswd