OT: autentykacja via LDAP
Jacek Konieczny
jajcus w pld.org.pl
Czw, 24 Kwi 2003, 23:01:08 CEST
On Thu, Apr 24, 2003 at 10:15:25PM +0200, Daniel Mróz wrote:
>
> Czesc
>
> Mam pytanie do ludkow uzywajacych LDAP do autoryzacji userow. Jak
> rozwiazujecie problem hasla? Podgralem dane usera z jakimstam haslem w
> MD5, ale kiedy odpytuje baze, ta zwraca mi prawdopodobnie zahaszowany
> Cryptem hash MD5. Robi to niezaleznie od tego jak kombinuje z opcjami
> "pam_crypt" i "pam_password".
Jeżeli w LDAP chcesz trzymać hasła z shadow kodowane md5 po
"shadołowemu", to tam mają one mieć postać: {CRYPT}hasłozshadow.
To {CRYPT} nie oznacza starego "crypt", czyli des, ale systemowy
crypt(), który może też używać md5 (zdaje się że jak salt ma postać
$1$...).
> userPassword:: e01ENX0kMSRPb3o5R2Z4QSRVd2s0dVQ1bkE2LjNzNk9IZXJLalgx
Po zdekodowaniu jest to:
{MD5}$1$Ooz9GfxA$Uwk4uT5nA6.3s6OHerKjX1
A powinno być:
{CRYPT}$1$Ooz9GfxA$Uwk4uT5nA6.3s6OHerKjX1
{MD5} to afaik MD5 bez salta (takie jak z md5sum) i może być używane
właściwie tylko przez samo LDAP (ale nie jest to polecane).
> P.S. Spotkalem juz dwa opisy dzialania pam_ldap:
> - odpytuje baze LDAP i uzywa danych z niej do autentykacji (jak
> zwykla baze danych),
> - najpierw odpytuje baze, a potem probuje sie podbindowac jako user,
> ktorego autentykujemy, jesli takowego znalazl.
> To wreszcie ktory opis jest prawdziwy?
Oba są prawdziwe. W przypadku drugiego hasła mogą być w LDAP w dowolnej
postaci zrozumiałej przez serwer LDAP i nie muszą być "czytalne" dla
usera robiącego autentykację, czasem jednak lepszy okazuje się pierwszy
sposób (późno jest i nie mogę sobie przypomnieć w jakich przypadkach).
Pozdrowienia,
Jacek
Więcej informacji o liście dyskusyjnej pld-users-pl