我已经使用slapd.conf文件设置了OpenLDAP服务。
一切正常,但是客户希望在slapd.conf文件中对密码进行加密,而我正在努力实现这一点。
此行有效:
idassert-bind bindmethod=simple binddn=CN=ldap-openLDAP,OU=Services,OU=company,DC=example,DC=com credentials=123456 mode=self
但是客户不想在配置文件中以纯文本形式获得用户的凭据。有没有办法写一个加密的密码,例如:
idassert-bind bindmethod=simple binddn=CN=ldap-openLDAP,OU=Services,OU=company,DC=example,DC=com credentials={SHA256}asa78asadASf mode=self
我已经发现,使用简单绑定只能使用纯文本密码。替代方法是bindmethod = sasl。但与此同时,我必须决定要在哪里使用Kerberos或GSSAPI进行身份验证。我对这种身份验证方法不太熟悉。
是否可以将加密的密码存储在slapd.conf中?如果没有,我该怎么做才能对LDAP服务器进行身份验证?
我在Windows服务器(不是UNIX)上安装了OpenLDAP。因为我发现的所有教程似乎都是针对Linux服务器制作的。
{SHA256}asa78asadASf是password hash。哈希是(设计为)单向的;没有(应该)无法从中找回原始密码123456。
目前不支持对存储在slapd.conf中的凭据进行加密。
要获得比Kerberos更简单的解决方案,您可以考虑使用TLS客户端证书。您可以轻松创建自己的CA证书并从中颁发几个客户端证书。但是请注意,这并不比slapd.conf中的纯文本密码更安全! slapd必须能够访问它应该提供的凭据;可以读取slapd.conf文件的任何人显然也可以读取这些凭据,无论是纯文本密码,Kerberos密钥表还是证书私钥。