* [Sysadmins] LDAP + пароли для пользователей в blowfish
@ 2010-12-09 8:24 Andrew V. Stepanov
2010-12-09 8:32 ` Vitaly Kuznetsov
2010-12-09 9:36 ` Sergey Vlasov
0 siblings, 2 replies; 6+ messages in thread
From: Andrew V. Stepanov @ 2010-12-09 8:24 UTC (permalink / raw)
To: sysadmins
Привет.
Я хочу чтобы системные пользователи хранились в LDAP.
Я это сделал.
Только сейчас у меня в /etc/pam_ldap.conf пароли на проверку в LDAP
сервер отправляются в открытом виде:
pam_password clear
Я могу хранить хеш пароля в LDAP. Для этого я могу создать его с помощью:
/usr/sbin/slappasswd -h '{CRYPT}'
Но на вход LDAP всеравно хочет получить clear пароль. Т.е. чтобы в
/etc/pam_ldap.conf было `pam_password clear'
С такой конфигурацией пользователи успешно авторизируются в системе.
В etc/pam_ldap.conf есть опция:
pam_password crypt
Как я понял тогда pam_ldap будет отправлять на проверку в LDAP сервер
хеш пароля.
Только у меня вопрос, как занести в LDAP пароль пользователя?
stanv@hull: ~/ > bfhash 123
$2a$08$hb2E6SbbhRS8AfNiIpH2wujDP7Q5tuHHnBHVVeLx0GKAHaQG7BXbW%
stanv@hull: ~/ > bfhash 123
$2a$08$0zFsBZbRI0MxjOJZkUzH6uNdeYbQu4uKz9earJP64P2rjny4PyNTe%
Как видно хеш для одного пароля генерируется каждый раз другой.
В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
было включить опцию `pam_password crypt' ????
СПАСИБО!!!
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] LDAP + пароли для пользователей в blowfish
2010-12-09 8:24 [Sysadmins] LDAP + пароли для пользователей в blowfish Andrew V. Stepanov
@ 2010-12-09 8:32 ` Vitaly Kuznetsov
2010-12-09 8:43 ` Andrew V. Stepanov
2010-12-09 9:36 ` Sergey Vlasov
1 sibling, 1 reply; 6+ messages in thread
From: Vitaly Kuznetsov @ 2010-12-09 8:32 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
"Andrew V. Stepanov" <stanv@altlinux.org> writes:
> В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
> было включить опцию `pam_password crypt' ????
Вот пример на перле для SHA:
use Digest::SHA1;
use MIME::Base64;
$ctx = Digest::SHA1->new;
$ctx->add($theGoodWord);
$hashedSHAPasswd = '{SHA}' . encode_base64($ctx->digest,'');
print 'userPassword: ' . $hashedSHAPasswd . "\n";
--
Vitaly Kuznetsov, ALT Linux
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] LDAP + пароли для пользователей в blowfish
2010-12-09 8:32 ` Vitaly Kuznetsov
@ 2010-12-09 8:43 ` Andrew V. Stepanov
0 siblings, 0 replies; 6+ messages in thread
From: Andrew V. Stepanov @ 2010-12-09 8:43 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Круто, спасибо!
Получилось.
Т.е. можно и так:
# slappasswd -h '{SHA}'
New password:
Re-enter new password:
{SHA}QL0AFWMIX8NRZTKeof9cXsvbvu8=
Я все думал что `pam_password crypt' - это привязка к системному
вызову crypt(), т.е. blowfish.
Оказывается это SHA.
2010/12/9 Vitaly Kuznetsov <vitty@altlinux.ru>:
> "Andrew V. Stepanov" <stanv@altlinux.org> writes:
>
>> В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
>> было включить опцию `pam_password crypt' ????
>
> Вот пример на перле для SHA:
>
> use Digest::SHA1;
> use MIME::Base64;
> $ctx = Digest::SHA1->new;
> $ctx->add($theGoodWord);
> $hashedSHAPasswd = '{SHA}' . encode_base64($ctx->digest,'');
> print 'userPassword: ' . $hashedSHAPasswd . "\n";
>
> --
> Vitaly Kuznetsov, ALT Linux
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] LDAP + пароли для пользователей в blowfish
2010-12-09 8:24 [Sysadmins] LDAP + пароли для пользователей в blowfish Andrew V. Stepanov
2010-12-09 8:32 ` Vitaly Kuznetsov
@ 2010-12-09 9:36 ` Sergey Vlasov
2010-12-09 9:55 ` Andrew V. Stepanov
1 sibling, 1 reply; 6+ messages in thread
From: Sergey Vlasov @ 2010-12-09 9:36 UTC (permalink / raw)
To: Sysadmins
On Thu, 9 Dec 2010 11:24:43 +0300 Andrew V. Stepanov wrote:
> Я хочу чтобы системные пользователи хранились в LDAP.
> Я это сделал.
> Только сейчас у меня в /etc/pam_ldap.conf пароли на проверку в LDAP
> сервер отправляются в открытом виде:
> pam_password clear
Нужно внимательнее читать документацию pam_ldap - параметр
pam_password влияет на способ _изменения_ пароля, а не на проверку его
при аутентификации пользователя. Чтобы при аутентификации пароль не
передавался в открытом виде, необходимо использовать либо SASL (но
методы CRAM-MD5 и DIGEST-MD5 требуют хранения пароля в открытом виде
на сервере - т.е., в базе LDAP), либо TLS.
> В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
> было включить опцию `pam_password crypt' ????
"pam_password crypt" вообще использовать не стоит - это именно древний
DES-based crypt(). На клиентской стороне pam_ldap поддерживает только
алгоритмы хеширования паролей DES и MD5; всё остальное нужно
настраивать на стороне сервера, передавая ему пароль в открытом виде
(естественно, в этом случае для защиты требуется TLS).
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] LDAP + пароли для пользователей в blowfish
2010-12-09 9:36 ` Sergey Vlasov
@ 2010-12-09 9:55 ` Andrew V. Stepanov
2010-12-09 18:20 ` Sergey Vlasov
0 siblings, 1 reply; 6+ messages in thread
From: Andrew V. Stepanov @ 2010-12-09 9:55 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
У меня на LDAP сервере поле userPassword выставлено в :
{SHA}QL0AFWMIX8NRZTKeof9cXsvbvu8=
В /etc/pam_ldap.conf включена опция "pam_password crypt".
При такой конфигурации пароль всеравно передается в открытом виде?
2010/12/9 Sergey Vlasov <vsu@altlinux.ru>:
> On Thu, 9 Dec 2010 11:24:43 +0300 Andrew V. Stepanov wrote:
>
>> Я хочу чтобы системные пользователи хранились в LDAP.
>> Я это сделал.
>> Только сейчас у меня в /etc/pam_ldap.conf пароли на проверку в LDAP
>> сервер отправляются в открытом виде:
>> pam_password clear
>
> Нужно внимательнее читать документацию pam_ldap - параметр
> pam_password влияет на способ _изменения_ пароля, а не на проверку его
> при аутентификации пользователя. Чтобы при аутентификации пароль не
> передавался в открытом виде, необходимо использовать либо SASL (но
> методы CRAM-MD5 и DIGEST-MD5 требуют хранения пароля в открытом виде
> на сервере - т.е., в базе LDAP), либо TLS.
>
>> В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
>> было включить опцию `pam_password crypt' ????
>
> "pam_password crypt" вообще использовать не стоит - это именно древний
> DES-based crypt(). На клиентской стороне pam_ldap поддерживает только
> алгоритмы хеширования паролей DES и MD5; всё остальное нужно
> настраивать на стороне сервера, передавая ему пароль в открытом виде
> (естественно, в этом случае для защиты требуется TLS).
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] LDAP + пароли для пользователей в blowfish
2010-12-09 9:55 ` Andrew V. Stepanov
@ 2010-12-09 18:20 ` Sergey Vlasov
0 siblings, 0 replies; 6+ messages in thread
From: Sergey Vlasov @ 2010-12-09 18:20 UTC (permalink / raw)
To: Sysadmins
On Thu, 9 Dec 2010 12:55:22 +0300 Andrew V. Stepanov wrote:
> У меня на LDAP сервере поле userPassword выставлено в :
> {SHA}QL0AFWMIX8NRZTKeof9cXsvbvu8=
> В /etc/pam_ldap.conf включена опция "pam_password crypt".
>
> При такой конфигурации пароль всеравно передается в открытом виде?
Если в /etc/pam_ldap.conf написано "uri ldap://..." - именно в
открытом виде. Нужно настраивать TLS, вписывать uri ldaps://...,
pam_password exop (должно работать с openldap), а тип хеша выбирать в
настройках openldap (password-hash, password-crypt-salt-format).
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2010-12-09 18:20 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-12-09 8:24 [Sysadmins] LDAP + пароли для пользователей в blowfish Andrew V. Stepanov
2010-12-09 8:32 ` Vitaly Kuznetsov
2010-12-09 8:43 ` Andrew V. Stepanov
2010-12-09 9:36 ` Sergey Vlasov
2010-12-09 9:55 ` Andrew V. Stepanov
2010-12-09 18:20 ` Sergey Vlasov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git