Назад | Перейти на главную страницу

Принудительно использовать SHA, когда пользователь меняет пароль LDAP с помощью passwd

Я пытаюсь настроить PAM / LDAP, чтобы при входе в систему пользователь SSH менял свой пароль, используя passwd, он шифрует пароль с помощью SHA1 перед обновлением записи LDAP. у меня есть это

# /etc/ldap.conf
...
rootbinddn cn=Manager,dc=ourdomain,dc=com
rootpw secret
pam_crypt local

Когда пользователь меняет свой пароль, используя passwd, в LDAP запись выглядит примерно так

{crypt}41H84HEld3

Так что это приходит как crypt. Я не знаю, как заставить это быть SHA / SHA1. Я пробовал добавить

pam_password sha

к /etc/ldap.conf но затем пароль просто приходит и сохраняется в LDAP в виде открытого текста.

Из этого источник, в RHEL | CentOS 5:

Отображение текущего алгоритма хеширования

Введите следующую команду: # authconfig --test | grep хеширование

Примеры результатов:

    password hashing algorithm is md5

Настройте Linux-сервер для использования SHA-512

Чтобы настроить систему Linux на использование алгоритма SHA-512, введите: # authconfig --passalgo = sha512 --update

Примечание: пользователям необходимо изменить свои пароли, чтобы сгенерировать хэши с использованием SHA-512. Вы можете заставить пользователей изменить свой пароль при следующем входе в систему:

    # chage -d 0 userName

Я не пробовал (есть только CentOS 4), но надеюсь, что это поможет.