1. घर
  2. सवाल और जवाब
  3. आप OpenLDAP

आप OpenLDAP

2012-07-31 32 views
5

में पासवर्ड हैशिंग (एसएसएचए) कैसे चालू करते हैं मेरे जीवन के लिए, मुझे यह कहीं भी नहीं मिल रहा है और यदि कोई मुझे सिर्फ एक लिंक भी दे सकता है तो मैं बहुत सराहना करता हूं।आप OpenLDAP

हम ओपनएलडीएपी में एसएसएचए हैशिंग चालू करने की कोशिश कर रहे हैं। डिफ़ॉल्ट रूप से यह सादे टेक्स्ट में पासवर्ड संग्रहीत करता है, जो मुझे लगता है कि आपराधिक है लेकिन हे, मैं एक एडी लड़का हूं इसलिए मुझे क्या पता चलेगा। लेकिन आपको लगता है कि यदि आप चुनते हैं तो वे हैशिंग को चालू करने के लिए आवश्यक जानकारी ढूंढना आसान बना देंगे। और आप नहीं चुनेंगे?

स्रोत

2012-07-31 Sevil Natas

+1

से हैश पासवर्ड में हैश पासवर्ड सक्षम करने के बारे में अधिक जानकारी प्राप्त कर सकते हैं, यह दूसरों के लिए यहां ध्यान देने योग्य है: आपके प्रमाणीकरण डेटाबेस (एलडीएपी, एडी या कुछ और) में हैश किए गए पासवर्ड संग्रहीत करना काफी सुरक्षा पैनसिया नहीं है । एसएएसएल नाटकीय रूप से तार (नेटवर्क पर) पर सुरक्षा में सुधार करता है, लेकिन यह आवश्यक है कि मूल पासवर्ड लिंक के दोनों सिरों पर उपलब्ध हो। तो तार (एसएएसएल) पर बेहतर सुरक्षा के खिलाफ डेटास्टोर (हैशिंग) में ट्रेडऑफ बेहतर सुरक्षा है। –

+0

'मैन स्लैपो-पीपीओलिस' से: निर्दिष्ट करें कि डेटाबेस में संग्रहीत होने से पहले जोड़ें और संशोधित अनुरोधों में मौजूद क्लीयरक्स्ट पासवर्ड मौजूद होना चाहिए। यह X.500/LDAP सूचना मॉडल का उल्लंघन करता है, लेकिन एलडीएपी क्लाइंट की क्षतिपूर्ति करने के लिए इसकी आवश्यकता हो सकती है जो पासवर्ड का प्रबंधन नहीं करने के लिए पासवर्ड संशोधित ऑपरेशन का उपयोग नहीं करते हैं। –

उत्तर

7

हैशिंग एल्गोरिदम को बदलने के लिए आप 'पासवर्ड-हैश' का उपयोग कर सकते हैं, डिफ़ॉल्ट एक एसएसएचए (स्पष्ट पाठ नहीं है)।

ध्यान दें कि, स्लैपड उपरोक्त का उपयोग केवल तभी करता है जब क्लाइंट द्वारा भेजे गए पासवर्ड सादे पाठ में हों, यदि आपका ग्राहक हैश पासवर्ड भेज रहा है, तो यह संग्रहीत किया जाएगा।

उदाहरण के लिए

: pam_ldap साथ, pam_password exop (या स्पष्ट)

कैसे पासवर्ड शक्ति परीक्षण सर्वर पर चलाते हैं पासवर्ड टुकड़ों में बंटी में आ रहा है है का उपयोग करें और मुझे पता है कि एक सुविधा OpenLDAP दलालों है ?

आप टुकड़ों में बंटी पासवर्ड भेजा है, नहीं कर सकते शक्ति परीक्षण करने slapd, ताकि ग्राहकों को साफ़ टेक्स्ट में पासवर्ड भेजा जाना चाहिए (ppolicy स्वीकार करने के लिए/विकल्प टुकड़ों में बांटा अस्वीकार पासवर्ड है)।

नोट:

  1. अपने ग्राहकों को SSL/TLS (ताकि passwds स्पष्ट पाठ में नहीं भेजा जाता है)
  2. userpassword विशेषता विशेष वर्ण का उपयोग सुनिश्चित करें ({}) ताकि आप एक बेस 64 क्या करना है इस्तेमाल किया हैशिंग एल्गोरिदम की पहचान करने के लिए।

जैसे: सामान्य रूप से गुण निम्न स्वरूप में लौटा दिया जाता है (:: से संकेत मिलता है परिणाम इनकोडिंग बेस 64 है)

userPassword:: e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ= 
= 

$ echo e1NTSEF9QjU0VXNmQWhJN1dQZ3FvbDVSQ1l5RHUzTlVqa1luVVhYV2ljbmc9PQ==|openssl base64 -d 
{SSHA}B54UsfAhI7WPgqol5RCYyDu3NUjkYnUXXWicng==

स्रोत

2012-07-31 19:58:59 Najmuddin

+2

धन्यवाद नज। आपके सुझाव हमारे समाधान का हिस्सा बन गए। परीक्षण शक्ति के बारे में मेरी टिप्पणी वास्तव में उन लोगों से पूछताछ कर रही थी जिन्होंने सुझाव दिया था कि लेखांकन के लिए एलडीएपी को भेजने से पहले हैशिंग करना चाहिए। ऊपर दिया गया बयान कुछ ऐसा हुआ जो मुझे हुआ जिसने मुझे टिप्पणी का संदेह बना दिया। धन्यवाद फिर से ... जीत मेरे दोस्त को जाता है। –

1

ओपनएलडीएपी प्रशासक के लिए चुनने के लिए विभिन्न प्रकार की स्टोरेज योजनाओं का समर्थन करता है। खाता बनाने के लिए आप जिस टूल का उपयोग करते हैं उसे हैशिंग करने के लिए कॉन्फ़िगर किया जाना चाहिए। सर्वर क्लाइंट अनुरोधों के प्रारूप में पासवर्ड संग्रहीत करेगा। हैशिंग ठीक से किया जाता है, तो ldapsearch इस तरह टुकड़ों में बंटी पासवर्ड दिखाएगा:

userPassword: {SSHA}d0Q0626PSH9VUld7yWpR0k6BlpQmtczb

जानकारी के लिए http://www.openldap.org/doc/admin24/security.html देखें।

यह प्रशासनिक उपकरण की बात आती है मैं व्यक्तिगत रूप से http://phpldapadmin.sourceforge.net

स्रोत

2012-07-31 00:37:04 anttix

+0

वास्तव में? तो आप कह रहे हैं कि पासवर्ड हैशिंग करने का एकमात्र तरीका क्लाइंट या दूसरे शब्दों में बाहरी स्रोत करना है। यह इष्टतम और थोड़ा खतरनाक से कम लगता है। एडी दुनिया में यह केंद्रीय रूप से किया जाता है और केंद्रीय रूप से प्रबंधित होता है। मेरे लिए विश्वास करना मुश्किल है। –

+0

प्रतीक्षा करें, पासवर्ड में आ रहा है या नहीं, तो मुझे पता है कि पासवर्ड खुले में आ रहा है और मुझे पता है कि यह एक ओपनएलडीएपी टाउट्स है? –

+0

एलडीएपी सिर्फ एक निर्देशिका है। पासवर्ड नीतियों को लागू करना प्रमाणीकरण परत तक स्टोरेज परत नहीं है। वास्तव में यूनिक्स दुनिया कैसे काम करती है, एक ऐसा उपकरण है जो केवल एक चीज करता है और यह अच्छा करता है। पासवर्ड नीतियों को लागू करने के लिए आपको उस उपकरण को कॉन्फ़िगर करने की आवश्यकता है जिसे आपके उपयोगकर्ता अपना पासवर्ड बदलने के लिए उपयोग करेंगे, चाहे वह एक वेब इंटरफ़ेस हो या कमांड लाइन उपयोगिता हो। मैं समझता हूं कि यह विश्वास करना मुश्किल हो सकता है कि कोई "केंद्रीय" चीज नहीं है जो सब कुछ करता है, लेकिन यह मॉड्यूलरिटी का विचार है। – anttix

2

सिफारिश करेंगे LDAP कल्पना अंतर के लिए सादा पाठ पासवर्ड की आवश्यकता है। सुरक्षा पर उपर्युक्त लिंक आपको डिफ़ॉल्ट हैश प्रकारों के लिए विकल्प देगा जो सर्वर लागू कर सकता है, लेकिन प्रभावों पर विचार करें।

स्रोत

2012-07-31 04:17:45 jeffmedcalf

+0

आप सादे पाठ भेजने की आवश्यकता के बारे में सही हैं। मुझे लगता है कि यही कारण है कि ओपनएलडीएपी को एसएस को चालू करने की आवश्यकता है इससे पहले कि कोई इसे हैशिंग पासवर्ड शुरू करने के लिए कॉन्फ़िगर कर सके। मेरा सवाल यह है कि, क्यों इसे किसी को साइड टेक्स्ट पासवर्ड भेजना पड़ता है जिससे हैशिंग बंद हो जाती है। सुरक्षा के अनुसार, यह बेहतर होगा कि हो जाने से हैशिंग चालू हो और उपयोगकर्ता को इसे बंद करने की आवश्यकता हो। बीएसडी मॉडल का क्रमबद्ध करें, डिफ़ॉल्ट रूप से बंद सब कुछ खतरनाक सामान को चालू करने के लिए सीखा है। –

1

जब आप ऐड में userPassword विशेषता की दुकान/LDAP संचालन को संशोधित करने की कोशिश की, userPassword मान सादा पाठ के रूप में संग्रहीत किया जाता है। लेकिन आप ओपनएलडीएपी में ppolicy ओवरले मॉड्यूल में ppolicy_hash_cleartext विकल्प का उपयोग करके इस व्यवहार को ओवरराइड कर सकते हैं। एक बार जब आप इसे सक्षम कर देते हैं, जब ग्राहक सादा पाठ पासवर्ड भेजता है, तो इसे डिफ़ॉल्ट रूप से SSHA के रूप में संग्रहीत किया जाता है।आप here

स्रोत

2015-06-26 07:33:57 Asela

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^