Linux
nss/pam ldap 可以向已經散列的 ldap 伺服器發送密碼嗎?
我配置了 nss 和 pam,以便我可以通過 LDAP 針對我公司的 AD 伺服器對 linux 使用者進行身份驗證。除了密碼以純文字形式發送外,一切正常。由於我無法控制的原因,我們的 AD 伺服器不支持 ssl/tls,我認為我無法說服他們打開它。是否可以對其進行配置,以便在發送密碼之前對其進行雜湊處理。所以換句話說,AD 儲存了散列的密碼,所以為什麼我不能只配置 nss 和 pam ldap 來發送已經散列的密碼,然後在 ldap 伺服器上比較散列。我想我過去已經配置了其他軟體包來執行此操作…
另一種方法是使用 Kerberos5 而不是 LDAP 簡單綁定,僅
pam_krb5
用於身份驗證。libniss
然後將僅使用 LDAP 來解析使用者。這樣至少沒有純文字密碼傳輸,但所有 LDAP 查詢當然都以純文字傳輸 - 請注意,簡單綁定查詢目錄所需的帳戶應該是 Domain Guest 或一些高度非特權的帳戶等。這也是微不足道的。
不,因為攻擊者冒充使用者所需要做的就是獲取散列,而無需破解它,從而使密碼儲存的散列方面毫無意義。
滿足這種需求的方法將是某種挑戰/響應身份驗證(CHAP、HMAC、NTLM ..),我不認為這是原始 LDAP 連接中的選項。
在域控制器上啟用 SSL 真的很容易——如果它有適當的證書,它是自動的——所以,我建議說服那些走這條路的權力。