Способ обновить незашифрованный пароль к ssha в Открытом ldap для 400K Пользователей

Документация OpenLDAP предоставляет несколько примеров кода в FAQ , которые вы можете использовать для создания собственных сценариев на вашем любимом языке сценариев для преобразования паролей в формате открытого текста в SSHA.
Примечание: Не используйте одну и ту же соль для всех ваших пользователей.

Экспорт (части) вашего каталога в каталог в формате LDIF с помощью slapcat и убрать скрипт!

Для небольшого количества паролей в открытом виде вы можете просто сгенерировать LDIF, чтобы обновить их:

dn: cn=Alice, ou=Users, o=example, c=com
changetype: modify 
replace: userPassword 
userPassword: {SSHA}xxxxxxxxxxxxxxxx 

dn: cn=Bob, ou=Users, o=example, c=com
changetype: modify 
replace: userPassword 
userPassword: {SSHA}abcabcabcbacbabcabc 

Возможно, вы захотите разверните тестовый сервер и сравните, сколько времени занимает обновление с помощью LDIF. AFAIK нет индексов в поле пароля, поэтому производительность может быть достаточной для ваших целей, но обычно прохождение через интерфейс LDAP относительно медленно (и еще медленнее, когда многие индексы также должны быть обновлены). Одним из преимуществ является то, что использование LDIF будет соответствовать вашей структуре репликации.

Обычно изменение базы данных в автономном состоянии происходит намного быстрее. Снова выполните экспорт с помощью slapcat, преобразуйте поля открытого текста userPassword: в полученный LDIF и используйте slappadd , чтобы перезагрузить его. Возможно, с переключателями -q и -s . Насколько хорошо это сочетается с репликацией (с несколькими мастерами), немного зависит от вашего предполагаемого подхода.

Эти вопросы и ответы также могут быть интересны при принятии решения о подходе.