Atenção para a pergunta valendo 300 mil reais. :-) Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha. Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-( A resposta é "depende". Algumas documentações recomendam SSHA, em outros locais depende da biblioteca e da versão do LDAP, há algumas nuances e isso não costuma ser um "padrão" amplamente adotado/divulgado. Você vai ver que no passado (e em algumas RFCs) o campo armazenava senhas em texto simples. http://www.openldap.org/lists/openldap-devel/200203/msg00028.html Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword --> saslauthd --> Kerberos ->- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho. Eu vou precisar fazer alguns testes de performace sobre esse transporte, e sniffer para ver como é feito todo esse transporte de senha. Vejo seu cenário, compare os algoritmos e escolha. Se você pensar somente no algoritmo, SHA *ainda* não apresentou conflitos, ao contrário do MD5, mas é preciso verificar a implementação do OpenLDAP destes algoritmos e, em especial, verificar se outras ferramentas que manipular a base LDAP suportam todos os tipos de HASH. Nesse caso, estou pensando *somente* no algoritmo. Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades. Abraços!Abraço, |