Re: Вопрос про переход на LDAP
> > А можно ли перенести пароли? Конкретнее: можно ли, зная захэшированные
> > через crypt() пароли в /etc/shadow, занести в LDAP нечто, чтобы pam_ldap
> > позволял пользователям входить (как на сервере, так и на других машинах,
> > берущих через pam_ldap информацию с сервера)?
>
> Ну ессно! Ты что думаешь правильно пароли в LDAP в Plain Text'е
> держать? Значение поля пароля в записях LDAP может иметь вид:
>
> {crypt}383jhf84s
> для алгоритма шифрования crypt
>
> {md5}$1$a2ImnsTw$h87V1qQpO4UzK1YM1qa.P.
> для md5 соответственно
При переносе паролей из shadow на LDAP сервер, работающий под linux я бы
в любом случае использовал {crypt}, при котором для проверки валидности
пароля будет вызываться crypt() из libc6 (то же, что используется и в
pam_shadow). В этом случае работоспособность паролей, перенесенных из
shadow в ldap гарантируется вне зависимости от используемого в
pam_shadow алгоритма хэширования.
Соответственно {crypt}$1$a2ImnsTw$h87V1qQpO4UzK1YM1qa.P. также сожрется.
Reply to: