Я подключаюсь к FreeIPA LDAP (386 Directory Server) как администратор. Я могу найти пользователя и добавить атрибут userPassword, например
#!RESULT OK
#!CONNECTION ldap://freeipa1.localdomain:389
#!DATE 2014-09-15T20:59:40.323
dn: uid=user,cn=users,cn=accounts,dc=localdomain
changetype: modify
add: userPassword
userPassword:: cGFzc3dvcmQ=
-
однако атрибут исчезает немедленно. Ни в одном запросе я не вижу, чтобы пользовательские объекты возвращали атрибут userPassword как обычный или рабочий атрибут.
Мне действительно нужно, чтобы атрибут был настраиваемым и отображался в запросах. Открытый текст и хэши подходят для моего приложения, на самом деле не имеет значения с точки зрения безопасности. Какое изменение конфигурации мне следует внести?
userPassword
атрибут не виден никому, кроме cn=Directory Manager
пользователь специально. Если вы попытаетесь запустить ldapsearch с этим, вы должны увидеть хэш пароля. Однако вы не можете хранить или показывать пароль в открытом виде с помощью FreeIPA, поскольку проект пытается не поддерживать небезопасные методы.
Что касается изменения пароля, используйте операцию с расширенным паролем (команда ldapasswd использует его). Это вызовет FreeIPA ipa-pwd-extop
плагин, который обновит все зависимые хэши паролей (например, Kerberos ' krbPrincipalKey
атрибут).