2012-11-15 53 views
0

我知道ldap目錄可以將用戶密碼存儲爲明文或散列(使用其中一種可用算法)。openldap認證與選項哈希以及明文?

客戶端以明文格式發送userpassword。 Auth服務器檢查存儲的密碼是否爲散列格式或明文...取決於大小寫,它將客戶端的密碼與存儲的值進行比較。

要進行連接固定,我們可以使用TLS,但是,我們需要從客戶端發送密碼以明文唯一形式服務器..

我們有沒有在客戶端散列格式發送密碼選項?

回答

2

除非LDAP客戶端使用無密碼SASL方法進行BIND操作,否則應該通過安全連接以明文形式發送密碼。只有這樣,目錄服務器才能執行密碼質量規則,密碼歷史記錄等等。由於這個原因,軟件專業人員應該拒絕發送預編碼密碼的想法。

應將目錄服務器配置爲使用可用時間最長的摘要(專業品質目錄服務器支持含512位摘要的鹽味SHA-2)的鹽漬SHA-2。否則,如果需要使用像DIGEST-MD5這樣的低安全性SASL方法,則服務器需要訪問密碼;因此密碼應該存儲在可用的最強可逆加密中,我相信這是AES

總之,如果簡單綁定操作用來認證:

  • 將服務器配置爲拒絕非安全連接
  • 發送密碼以明文形式通過安全連接
  • 配置服務器的密碼策略使用可用的最長鹽漬SHA-2摘要存儲密碼