Encryption
Openldap 重新散列已經散列的密碼
我在 SSHA-512 上有一個帶有 ppolicy 的 openldap。當客戶端發送明文密碼時,密碼將儲存為 SSHA-512,很好。
我的問題出現了,一旦發送已經散列的密碼,例如 SHA、SSHA 甚至 SSHA-512,散列值在 SSHA-512 上再次散列。
我已將我的 ppolicy 配置為: olcPPolicyHashCleartext: TRUE
openldap ppolicy 不應該區分上述情況並僅在發送明文時觸發嗎?
長話短說,只要您使用PasswordModifyExtendedRequest更新密碼: ppolicy 已配置並且olcPPolicyHashCleartext: TRUE 發送的密碼值,無論是否散列,將始終根據 ppolicy 再次散列。
要在不觸發 ppolicy 的情況下儲存密碼,只需避免使用PasswordModifyExtendedRequest而是僅使用預設的修改/添加操作,我個人使用 unboundid 庫中的操作。
這樣,您可以配置您的 ppolicy 並決定是否要觸發它並讓 openldap 對您的密碼進行雜湊處理,或者自己對密碼進行雜湊處理,然後將其發送到 openldap(不會被頑固地重新雜湊處理!)。