У меня есть два сервера каталогов OpenLDAP. Каждый - стандартный сервер Zimbra OpenLDAP. Учетные записи с паролями, которые используют метод хеша SSHA-512.
Когда я копирую эти учетные записи в стандартный сервер OpenLDAP с sha2 модулем, скомпилированным и установленным, только SHA-512 поддерживается.
Я не могу успешно связать с учетными записями, которые имеют метод хеша SSHA-512. Я могу проверить, что пароль является правильным с внешним браузером LDAP, но я не могу связать. сообщение всегда, что учетные данные недопустимы. Аутентификация привела к сбою [LDAP: код ошибки 49 - Недопустимые Учетные данные]
Это метод хеша, специфичный для серверов Zimbra OpenLDAP. Это этот метод хеша создается сообществом Zimbra?
Почему сообщество Zimbra использовало бы нестандартный метод хеша?
Где мы можем найти этот метод хеша SSHA-512? Таким образом, мы можем добавить это к стандартным серверам OpenLDAP.
На OpenLDAP веб-сайт является "паролями RFC 2307 поддержек OpenLDAP, включая {SHA}, {SSHA} и другие схемы. Такие пароли могут использоваться в качестве userPassword значение rootpw и/или значения. См. (Xref), Что RFC 2307 хешированные пароли пользователя?. {SHA} и {SSHA} являются схемами паролей RFC 2307, которые используют SHA1 безопасный хеш-алгоритм. {SSHA} отобранный вариант. {SSHA} рекомендуется по другим схемам RFC 2307".
Эта информация не корректна. Я действительно создавал slapd-sha2.so модуль, как описано, например, здесь https://github.com/gcp/openldap/tree/master/contrib/slapd-modules/passwd/sha2
Но следование этим инструкциям гарантирует не поддержку SSHA, только SHA.
Вам необходимо указать OpenLDAP, какую схему использовать, в slapd.conf
или в онлайн-конфигурации:
slapd.conf
это запись хеш-пароль
. olcPasswordHash
в объекте конфигурации верхнего уровня olcGlobal
. Установите ее. на {SSHA}
.
Я знаю, что это старый пост, но я попал сюда с аналогичной проблемой, и решением было загрузить модуль для поддержки алгоритмов SSHA-2. Включите в файл slapd.conf
строку:
moduleload pw-sha2.la
Надеюсь, это кому-нибудь поможет; -)
В новых системах, где не существует * .conf, создайте файл / tmp / hash
с содержанием:
dn: olcDatabase={-1}frontend,cn=config
add: olcPasswordHash
olcPasswordHash: {SSHA}
Затем:
apt install ldap-utils
ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/hash