Есть ли какая-либо команда / расширение для обновления атрибута userPassword от объекта пользователя на сервере LDAP до хешированного пароля SSHA из простого текста?
мы обнаружили, что пользователи в LADP хранятся в виде обычного текста. После того, как мы включим политику паролей, пароли новых пользователей сохранятся в SSHA. Как перенести обычный текстовый пароль существующих пользователей на пароль SSHA?
Обновить версию - ОС: CentOS версии 6.6 - 64 бит
Версия OpenLdap: openldap-servers-2.4.39
Облако: AWS
Тип экземпляра: r3.xlarge
Два сервера LDAP
Документация OpenLDAP предоставляет несколько примеров кода в Вопросы-Ответы который вы можете использовать для создания пользовательских сценариев на вашем любимом языке сценариев для преобразования паролей в формате открытого текста в SSHA.
Примечание: Пожалуйста, не используйте одну и ту же соль для всех ваших пользователей.
Экспорт (части) вашего каталога в каталог в формате LDIF с помощью бездельник и скрипт прочь!
Для небольшого количества паролей в открытом виде вы можете просто сгенерировать LDIF для их обновления:
dn: cn=Alice, ou=Users, o=example, c=com
changetype: modify
replace: userPassword
userPassword: {SSHA}xxxxxxxxxxxxxxxx
dn: cn=Bob, ou=Users, o=example, c=com
changetype: modify
replace: userPassword
userPassword: {SSHA}abcabcabcbacbabcabc
Возможно, вы захотите развернуть тестовый сервер и проверить, сколько времени занимает обновление с помощью LDIF. AFAIK нет индексов в поле пароля, поэтому производительность может быть достаточной для ваших целей, но обычно прохождение через интерфейс LDAP относительно медленно (и еще медленнее, когда многие индексы также должны быть обновлены). Одно из преимуществ состоит в том, что использование LDIF будет соответствовать вашей структуре репликации.
Обычно изменение базы данных в автономном состоянии происходит намного быстрее. Снова сделайте экспорт с помощью slapcat, преобразуйте открытый текст userPassword:
поля в результирующем LDIF и используйте slappadd
перезагрузить его. Может быть с -q
и -s
переключатели. Насколько хорошо это сочетается с репликацией (с несколькими мастерами), немного зависит от вашего предполагаемого подхода.
Это вопросы и ответы также может быть интересно выбрать подход.