OT: autentykacja via LDAP

[Jacek Konieczny]

On Thu, Apr 24, 2003 at 10:15:25PM +0200, Daniel Mróz wrote:
> 
> Czesc
> 
>    Mam pytanie do ludkow uzywajacych LDAP do autoryzacji userow. Jak
> rozwiazujecie problem hasla? Podgralem dane usera z jakimstam haslem w
> MD5, ale kiedy odpytuje baze, ta zwraca mi prawdopodobnie zahaszowany
> Cryptem hash MD5. Robi to niezaleznie od tego jak kombinuje z opcjami
> "pam_crypt" i "pam_password".

Jeżeli w LDAP chcesz trzymać hasła z shadow kodowane md5 po
"shadołowemu", to tam mają one mieć postać: {CRYPT}hasłozshadow.
To {CRYPT} nie oznacza starego "crypt", czyli des, ale systemowy
crypt(), który może też używać md5 (zdaje się że jak salt ma postać
$1$...).

> userPassword:: e01ENX0kMSRPb3o5R2Z4QSRVd2s0dVQ1bkE2LjNzNk9IZXJLalgx
Po zdekodowaniu jest to:
{MD5}$1$Ooz9GfxA$Uwk4uT5nA6.3s6OHerKjX1
A powinno być:
{CRYPT}$1$Ooz9GfxA$Uwk4uT5nA6.3s6OHerKjX1

{MD5} to afaik MD5 bez salta (takie jak z md5sum) i może być używane
właściwie tylko przez samo LDAP (ale nie jest to polecane).

> P.S. Spotkalem juz dwa opisy dzialania pam_ldap:
>    - odpytuje baze LDAP i uzywa danych z niej do autentykacji (jak
>      zwykla baze danych),
>    - najpierw odpytuje baze, a potem probuje sie podbindowac jako user,
>      ktorego autentykujemy, jesli takowego znalazl.
> To wreszcie ktory opis jest prawdziwy?
Oba są prawdziwe. W przypadku drugiego hasła mogą być w LDAP w dowolnej
postaci zrozumiałej przez serwer LDAP i nie muszą być "czytalne" dla
usera robiącego autentykację, czasem jednak lepszy okazuje się pierwszy
sposób (późno jest i nie mogę sobie przypomnieć w jakich przypadkach).

Pozdrowienia,
        Jacek