OpenLDAP上的SSHA密碼加密

Question

我當前的問題是我無法停止OpenLDAP將密碼存儲為純文本格式。 在較舊的openLDAP版本中，我在slapd.conf中輸入了以下配置

ppolicy_hash_cleartext
password-hash {SSHA} {SHA} 

因此，一旦從我的應用程序以明文形式發送了密碼，ldap就對其進行加密並將其加密存儲。

不幸的是，我無法配置OpenLDAP 2.4.40。 我發現在新版本中slapd.conf不再存在，而是在cn = config.ldif文件中進行配置。

我嘗試在此處再次添加相同的配置，但似乎沒有任何效果。

編輯 ：我用ldapmodify修改了olcPasswordHash： olcBackend = {0} mdb.ldif中的{SSHA}條目，olcDatabase = {1} mdb.ldif，olcDatabase = {0} config.ldif和cn = config.ldif，仍然是我的密碼以明文形式發送的消息將以明文形式存儲。

Answer 1

花了一些時間，但終於想通了。

加載描述ppolicy屬性的架構。

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif

創建具有以下內容的ppolicy_module.ldif並確保ppolicy.la位於已定義的olcModulePath下。 將文件存儲在/ etc / ldap下

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModuleLoad: ppolicy.la
olcModulePath: /usr/lib/ldap

添加ppolicy_module.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f ppolicy_module.ldif

創建具有以下內容的ppolicy-overlay.ldif文件。 確保olcDatabase號。 在這種情況下，它是olcD​​atabase = {1} mdb。 將文件存儲在/ etc / ldap下

dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=ppolicy,ou=policies,dc=example,dc=com
olcPPolicyUseLockout: FALSE
olcPPolicyHashCleartext: TRUE

添加LDIF文件。

ldapadd -Y EXTERNAL -H ldapi:/// -f ./ppolicy-overlay.ldif

重新啟動ldap。

更多詳細信息，請訪問： https : //fedorahosted.org/sssd/wiki/openldap_ppolicy