Назад | Перейти на главную страницу

Способ обновить текстовый пароль до ssha в Open ldap для пользователей 400K

Есть ли какая-либо команда / расширение для обновления атрибута userPassword от объекта пользователя на сервере LDAP до хешированного пароля SSHA из простого текста?

мы обнаружили, что пользователи в LADP хранятся в виде обычного текста. После того, как мы включим политику паролей, пароли новых пользователей сохранятся в SSHA. Как перенести обычный текстовый пароль существующих пользователей на пароль SSHA?

Обновить версию - ОС: CentOS версии 6.6 - 64 бит

Документация OpenLDAP предоставляет несколько примеров кода в Вопросы-Ответы который вы можете использовать для создания пользовательских сценариев на вашем любимом языке сценариев для преобразования паролей в формате открытого текста в SSHA.
Примечание: Пожалуйста, не используйте одну и ту же соль для всех ваших пользователей.

Экспорт (части) вашего каталога в каталог в формате LDIF с помощью бездельник и скрипт прочь!

Для небольшого количества паролей в открытом виде вы можете просто сгенерировать LDIF для их обновления:

dn: cn=Alice, ou=Users, o=example, c=com
changetype: modify 
replace: userPassword 
userPassword: {SSHA}xxxxxxxxxxxxxxxx 

dn: cn=Bob, ou=Users, o=example, c=com
changetype: modify 
replace: userPassword 
userPassword: {SSHA}abcabcabcbacbabcabc 

Возможно, вы захотите развернуть тестовый сервер и проверить, сколько времени занимает обновление с помощью LDIF. AFAIK нет индексов в поле пароля, поэтому производительность может быть достаточной для ваших целей, но обычно прохождение через интерфейс LDAP относительно медленно (и еще медленнее, когда многие индексы также должны быть обновлены). Одно из преимуществ состоит в том, что использование LDIF будет соответствовать вашей структуре репликации.

Обычно изменение базы данных в автономном состоянии происходит намного быстрее. Снова сделайте экспорт с помощью slapcat, преобразуйте открытый текст userPassword: поля в результирующем LDIF и используйте slappadd перезагрузить его. Может быть с -q и -s переключатели. Насколько хорошо это сочетается с репликацией (с несколькими мастерами), немного зависит от вашего предполагаемого подхода.

Это вопросы и ответы также может быть интересно выбрать подход.