LDAP - где настраивается хэширования пароля и соль?

0

1

Информация везде устаревшая. Облазил разные конфиги, но так и не нашёл где настраивается алгоритм хэширования и соль. Нужно как-то победить их велосипед под названием SSHA, чтобы написать интеграцию авторизации через данное поделие.

Ссылка

←	centos7 php-fpm webp

Fedora, openSUSE, PPPoE. ИДИОТЫ

→

Во-первых, какой используется ldap-сервер?

Предположу, что openldap. Тогда непонятно, что именно ты побеждаешь. Пароль там хранится в виде userPassword: {SSHA}XYZ.... Соответственно настройки хэширования прямо в нём. Подключение соответствующих обработчиков паролей и требования к защищённости в конфиге.

При авторизации ты передаёшь не хэшированный пароль, так что почему это вообще твоя забота не ясно.

Ivan_qrt ★★★★★
(10.06.19 13:18:40 MSK)

Ответ на: комментарий от Ivan_qrt 10.06.19 13:18:40 MSK

В атрибут userPassword в случае c OpenLDAP можно записать пароль в любом доступном для понимания этому LDAP-серверу виде:

(\{HASH_ID\}?BASE64_ENCODED_STRING|PLAIN_TEXT)

Относительно интеграции - она не должна быть на уровне использования поля userPassword. Интеграция может быть только с использованием стандартной для LDAP операции BIND. Если что-то хочет записать пароль в атрибут, для этого есть соотв.-щий extended operation: https://ldapwiki.com/wiki/Password Modify Extended Operation

P.S. Если речь об интеграции с Asterisk'ом, то проблема в реализации LDAP-модуля самого Астериска, а не в LDAP-сервере.

DRVTiny ★★★★★
(10.06.19 19:09:47 MSK)
Последнее исправление: DRVTiny 10.06.19 19:10:38 MSK (всего исправлений: 1)

Ответ на: комментарий от Ivan_qrt 10.06.19 13:18:40 MSK

slapd, вроде это он и есть OpenLDAP. Делал по этому ману. Если добавить вручную по примеру сверху, где пароль в открытом виде, то работает. Если через ldapadduser - нет. Сейчас закралось подозрение что юзер добавляется не в ту ноду где я его ищу, проверю.

InterVi ★★★★★
(11.06.19 01:16:23 MSK) автор топика