У меня настроены nss & pam, чтобы я мог аутентифицировать пользователей Linux через LDAP на сервере AD моей компании. Все работает нормально, за исключением отправки пароля в виде обычного текста. По независящим от меня причинам наш сервер AD не поддерживает ssl / tls, и я не думаю, что смогу убедить их включить его. Можно ли настроить так, чтобы пароли хешировались перед отправкой. Другими словами, AD хранит хешированные пароли, так почему я не могу просто настроить nss & pam ldap для отправки уже хешированного пароля, а затем хеш-значения для сравнения на сервере ldap. Я думаю, что раньше я настраивал для этого другие программные пакеты ...
Нет, потому что тогда все, что нужно будет сделать злоумышленнику, чтобы выдать себя за пользователя, - это получить хэш без необходимости его взламывать, что делает бессмысленным аспект хеширования хранения паролей.
Подход, который удовлетворил бы такую потребность, был бы своего рода аутентификацией типа запрос / ответ (ГЛАВА, HMAC, NTLM..), что я не думаю, что это вариант в необработанном соединении LDAP.
SSL действительно легко включить на контроллере домена - это автоматически, если у него есть соответствующий сертификат, поэтому я бы посоветовал убедить власть имущих пойти по этому пути.
Альтернативой было бы использование Kerberos5 вместо простого связывания LDAP просто через pam_krb5 только для аутентификации. libniss тогда будет использовать LDAP только для разрешения пользователей. Таким образом, по крайней мере, отсутствует передача пароля в виде обычного текста, но все запросы LDAP, конечно же, передаются в виде обычного текста - обратите внимание, что учетная запись, необходимая для простой привязки для запроса каталога, должна быть гостевой учетной записью домена или какой-либо крайне непривилегированной учетной записью и т.
Это тоже несложно.
Отправлять предварительно закодированные пароли - ужасная идея. Сервер каталогов не может обеспечить качество пароля, не зная пароля - это отсутствие возможностей само по себе является препятствием для любой среды, кроме самой тривиальной. Если ваш сервер сервера каталогов не может поддерживать шифрованную связь, его не следует использовать для этого типа критически важных приложений.