OT: autentykacja via LDAP

Daniel Mróz beorn w alpha.pl
Pią, 25 Kwi 2003, 12:48:00 CEST


On Thu, Apr 24, 2003 at 23:01:08 +0200, Jacek Konieczny wrote:
>>    Mam pytanie do ludkow uzywajacych LDAP do autoryzacji userow. Jak
>> rozwiazujecie problem hasla? Podgralem dane usera z jakimstam haslem w
>> MD5, ale kiedy odpytuje baze, ta zwraca mi prawdopodobnie zahaszowany
>> Cryptem hash MD5. Robi to niezaleznie od tego jak kombinuje z opcjami
>> "pam_crypt" i "pam_password".
> Jeżeli w LDAP chcesz trzymać hasła z shadow kodowane md5 po
> "shadołowemu", to tam mają one mieć postać: {CRYPT}hasłozshadow.
> To {CRYPT} nie oznacza starego "crypt", czyli des, ale systemowy
> crypt(), który może też używać md5 (zdaje się że jak salt ma postać
> $1$...).
To juz wiele wyjasnia.
Zmienilem na {crypt}, pokombinowalem jeszcze z opcjami, ale jedyne co
mi sie udalo uzyskac, to:

Apr 25 12:01:00 mei slapd[6508]: conn=4 op=5 SRCH base="ou=People,dc=cyberdeck,dc=pl" scope=1
   filter="(&(objectClass=posixAccount)(uid=ldaptest))"
Apr 25 12:01:00 mei slapd[6508]: conn=4 op=5 SEARCH RESULT tag=101 err=0 text=
Apr 25 12:01:02 mei login: FAILED LOGIN 1 FROM (null) FOR ldaptest, Authentication failure

Wyglada na to, ze nadal nie rozumie tego hasla.
Zwiekszylem logowanie slapd i wynika z niego, ze wartosc pola
userPassword jest zwracana, czyli dostep jest.

[root w mei LDAP]# ldapsearch -LL -b "dc=cyberdeck,dc=pl" -W -x \
   -D "cn=proxyuser,dc=cyberdeck,dc=pl" "(uid=ldaptest)" userPassword
Enter LDAP Password: <clicketyclick>
version: 1

dn: uid=ldaptest,ou=People,dc=cyberdeck,dc=pl
userPassword:: e0NSWVBUfSQxJE9vejlHZnhBJFV3azR1VDVuQTYuM3M2T0hlcktqWDE=


Jakie masz wartosci parametrow pam_crypt, pam_password (ldap.conf),
password-hash i password-crypt-salt-format (slapd.conf, chociaz to
raczej dotyczy formatu przechowywania)?

>> userPassword:: e01ENX0kMSRPb3o5R2Z4QSRVd2s0dVQ1bkE2LjNzNk9IZXJLalgx
> Po zdekodowaniu jest to:
> {MD5}$1$Ooz9GfxA$Uwk4uT5nA6.3s6OHerKjX1
> A powinno być:
> {CRYPT}$1$Ooz9GfxA$Uwk4uT5nA6.3s6OHerKjX1
Hmmmm... Czym dekodujesz?
 

Pozdrawiam
Beorn

-- 
----------------------------------------------------------------------
Daniel `Beorn' Mróz      <beorn w alpha.pl>       http://127.0.0.1/beorn
GCS/E d-(pu) s-:- a--@ C++++ UL++++$ P+++ L+++ E--- X W+>++ N+++ o? K-
w---  O M- V- PS PE- !Y PGP+ t- 5- R tv-- b+ DI++ D+++ G++ e h! r++ y?
----------------------------------------------------------------------



Więcej informacji o liście dyskusyjnej pld-users-pl