pam_ldapでOpenLDAPからのSHA-256ハッシュ(およびソルト)パスワードを使用するにはどうすればよいですか?
LinuxのPAM経由でログインするために、OpenLDAPでパスワードをハッシュおよびソルトしました。ハッシュがタイプSHA-1(塩漬けまたは無塩)またはプレーンテキストの場合、セットアップは機能します。このような場合、すべてが正常に機能し、ユーザーはこれらの資格情報を使用してログインできます。
ソルトされたSHA-256(SSHA-256)パスワードに切り替えると、ユーザーは正しいパスワードでログインできません。おそらくpam_ldapはSHA-256を理解していませんか?この制限を説明するドキュメントは見つかりませんが、それが可能であることを示す構成例も見つかりません。
私は何をしなければなりませんか? SHA-256用にpam_ldapを構成/コンパイルしますか? PAM以外のものを使用しますか?
認証情報はすでに別の(主要な)データストアに存在し、OpenLDAPと同期する必要があるため、ソルトSHA-256を使用する必要があります。
cRYPT関数を参照してください。 https://www.redpill-linpro.com/techblog/2016/08/16/ldap-password-hash.html
OpenLDAPパススルー認証
OpenLDAPは、外部プロセスを使用してパスワードを検証およびハッシュすることもできます。これらのスキームは次のとおりです。
CRYPT-OSの暗号化ライブラリをパスワードハンドラーSASLとして使用します-Cyrus SASLをパスワードハンドラーとして使用しますCyrus SASLは2012年に最後に更新されましたが、CRYPTはPOSIX APIの一部であり、継続的に更新する必要があります。それで-CRYPTは私たちに最新のハッシュを与えることができますか?
救助のための地下室
Linuxベースのglibcバージョンのcryptは、モジュラーcrypt形式と呼ばれることもあるパスワードハッシュにエンコードされた追加のバージョン管理スキームを通じて、追加の暗号化スキームをサポートしていることがわかりました。
1-MD52a-Blowfish/bcrypt 5-SHA-256 6-SHA-512