nss/pam ldap 可以向已經散列的 ldap 伺服器發送密碼嗎？

我配置了 nss 和 pam，以便我可以通過 LDAP 針對我公司的 AD 伺服器對 linux 使用者進行身份驗證。除了密碼以純文字形式發送外，一切正常。由於我無法控制的原因，我們的 AD 伺服器不支持 ssl/tls，我認為我無法說服他們打開它。是否可以對其進行配置，以便在發送密碼之前對其進行雜湊處理。所以換句話說，AD 儲存了散列的密碼，所以為什麼我不能只配置 nss 和 pam ldap 來發送已經散列的密碼，然後在 ldap 伺服器上比較散列。我想我過去已經配置了其他軟體包來執行此操作…

另一種方法是使用 Kerberos5 而不是 LDAP 簡單綁定，僅pam_krb5用於身份驗證。libniss然後將僅使用 LDAP 來解析使用者。這樣至少沒有純文字密碼傳輸，但所有 LDAP 查詢當然都以純文字傳輸 - 請注意，簡單綁定查詢目錄所需的帳戶應該是 Domain Guest 或一些高度非特權的帳戶等。

這也是微不足道的。

不，因為攻擊者冒充使用者所需要做的就是獲取散列，而無需破解它，從而使密碼儲存的散列方面毫無意義。

滿足這種需求的方法將是某種挑戰/響應身份驗證（CHAP、HMAC、NTLM ..），我不認為這是原始 LDAP 連接中的選項。

在域控制器上啟用 SSL 真的很容易——如果它有適當的證書，它是自動的——所以，我建議說服那些走這條路的權力。

引用自：https://serverfault.com/questions/300554