[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Вопрос про переход на LDAP



> > А можно ли перенести пароли? Конкретнее: можно ли, зная захэшированные 
> > через crypt() пароли в /etc/shadow, занести в LDAP нечто, чтобы pam_ldap 
> > позволял пользователям входить (как на сервере, так и на других машинах, 
> > берущих через pam_ldap информацию с сервера)? 
> 
>   Ну ессно! Ты что думаешь правильно пароли в LDAP в Plain Text'е
> держать? Значение поля пароля в записях LDAP может иметь вид:
> 
> {crypt}383jhf84s
> для алгоритма шифрования crypt
> 
> {md5}$1$a2ImnsTw$h87V1qQpO4UzK1YM1qa.P.
> для md5 соответственно
 При переносе паролей из shadow на LDAP сервер, работающий под linux я бы 
в любом случае использовал {crypt}, при котором для проверки валидности
пароля будет вызываться crypt() из libc6 (то же, что используется и в
pam_shadow). В этом случае работоспособность паролей, перенесенных из 
shadow в ldap гарантируется вне зависимости от используемого в
pam_shadow алгоритма хэширования. 
Соответственно {crypt}$1$a2ImnsTw$h87V1qQpO4UzK1YM1qa.P. также сожрется.



Reply to: