Openldap 重新散列已經散列的密碼

我在 SSHA-512 上有一個帶有 ppolicy 的 openldap。當客戶端發送明文密碼時，密碼將儲存為 SSHA-512，很好。

我的問題出現了，一旦發送已經散列的密碼，例如 SHA、SSHA 甚至 SSHA-512，散列值在 SSHA-512 上再次散列。

我已將我的 ppolicy 配置為： olcPPolicyHashCleartext: TRUE

openldap ppolicy 不應該區分上述情況並僅在發送明文時觸發嗎？

長話短說，只要您使用PasswordModifyExtendedRequest更新密碼： ppolicy 已配置並且olcPPolicyHashCleartext: TRUE 發送的密碼值，無論是否散列，將始終根據 ppolicy 再次散列。

要在不觸發 ppolicy 的情況下儲存密碼，只需避免使用PasswordModifyExtendedRequest而是僅使用預設的修改/添加操作，我個人使用 unboundid 庫中的操作。

這樣，您可以配置您的 ppolicy 並決定是否要觸發它並讓 openldap 對您的密碼進行雜湊處理，或者自己對密碼進行雜湊處理，然後將其發送到 openldap（不會被頑固地重新雜湊處理！）。

引用自：https://serverfault.com/questions/1005456