从文档我得到这个配置,但有效,但使用盐,
password-hash {CRYPT} password-crypt-salt-format“$ 6 $%。16s”
我需要将密码存储在LDAP目录中,这些密码是在没有加密盐的情况下生成的。
您最好使用另一种不像{SHA}或{MD5}而不是{CRYPT}执行salting的密码存储方案:
password-hash {SHA}
如果要求使用{CRYPT}:
password-crypt-salt-format "$6$%.16s"
$6$是SHA512模式的密码标识符,我们提供16个字符长盐:
~$ mkpasswd -m sha-512 --salt 'verybadseasoning' secret1
$6$verybadseasoning$Q2kceqwB2uYT2tU./QF.qRCIWjMQdObEAZ71Ni5Ko1zJOnxUwpu3oMeyjtgiR3hSVHIT20Ay9V1.pXaNhkHYk/
~$ mkpasswd -m sha-512 --salt 'verybadseasoning' secret2
$6$verybadseasoning$SHof1u2BCPJhYoVOk.LkWax7n5g28rzMkNCRAC5NmlT29GSeWLAlv2AoSkOS4rYfMUXsmTcyIxKDUU8aL7TlP0
请注意,mkpasswd不允许使用空盐:
~$ mkpasswd -m sha-512 --salt '' secret
Wrong salt length: 0 bytes when 8 <= n <= 16 expected.
password-crypt-salt-format "$6$%.0s"
它告诉crypt()使用SHA512算法,%s被一串零字符的盐(%.0s)取代。我无法判断slapd是否强制执行%s转换,但是设置"$6$"而不替换salting可能会起到作用,因为它意味着相同(没有盐),即:
~$ php -r 'print(crypt("secret", "$6$"));'
$6$$2M9DchxW4txWyTYoZrH9D3VvAAQxBpEezYsLY6Cao.jwzEXpyL9xwip9hiUZX7GqTqe/E/z6iKvZqXUuqniQH.
请注意,缺少盐会使您的系统受到字典攻击。
您可以使用不带salt的现有userPassword值导入用户条目。如果哈希方案是本地OpenLDAP安装支持的方案,则密码验证将起作用。
设置新密码时,config指令使用password-hash和password-crypt-salt格式。