Назад | Перейти на главную страницу

Пароль пользователя FreeIPA / 389 DS

Я подключаюсь к FreeIPA LDAP (386 Directory Server) как администратор. Я могу найти пользователя и добавить атрибут userPassword, например

#!RESULT OK
#!CONNECTION ldap://freeipa1.localdomain:389
#!DATE 2014-09-15T20:59:40.323
dn: uid=user,cn=users,cn=accounts,dc=localdomain
changetype: modify
add: userPassword
userPassword:: cGFzc3dvcmQ=
-

однако атрибут исчезает немедленно. Ни в одном запросе я не вижу, чтобы пользовательские объекты возвращали атрибут userPassword как обычный или рабочий атрибут.

Мне действительно нужно, чтобы атрибут был настраиваемым и отображался в запросах. Открытый текст и хэши подходят для моего приложения, на самом деле не имеет значения с точки зрения безопасности. Какое изменение конфигурации мне следует внести?

userPassword атрибут не виден никому, кроме cn=Directory Manager пользователь специально. Если вы попытаетесь запустить ldapsearch с этим, вы должны увидеть хэш пароля. Однако вы не можете хранить или показывать пароль в открытом виде с помощью FreeIPA, поскольку проект пытается не поддерживать небезопасные методы.

Что касается изменения пароля, используйте операцию с расширенным паролем (команда ldapasswd использует его). Это вызовет FreeIPA ipa-pwd-extop плагин, который обновит все зависимые хэши паролей (например, Kerberos ' krbPrincipalKey атрибут).