Назад | Перейти на главную страницу

Поддерживает ли openldap хеш-алгоритм pbkdf2?

Поскольку pbkdf2 (функция вывода ключей на основе пароля 2) является более безопасной хеш-функцией, мне интересно, поддерживает ли текущая реализация openldap pbkdf2 (например, pbkdf2_sha256)?

Я нашел в Google некоторую информацию о поддержке pbkdf2 в openldap, но я не уверен, к какой версии openldap он применяется, или я делаю это неправильно:

Я создал сервер openldap с версией 2.4.28 на ubuntu 12.04 и использую python lib для создания хешированного пароля PBKDF2-SHA256. Затем я помещаю этот пароль PBKDF2-SHA256 в поле userPassword нового пользователя ldap следующим образом:

userPassword: '{PBKDF2-SHA256}10000$LBwTpUPGqxdH$8pDqhAruY94IhhuCZLost471pGImy//wH0pS25LO/YI='

Это не сработало. В журнале ldap не сообщается об ошибке, но по-прежнему не удается войти с исходным паролем в виде обычного текста.

Я был бы очень признателен, если бы кто-нибудь любезно дал мне комментарий или направление !!

В настоящее время модуль OpenLDAP PBKDF2 поддерживает только PBKDF2-SHA1. Имя схемы - {PBKDF2}. Возможно, у него есть совместимость с Python Passlib. У меня есть дорожная карта для PBKDF2-SHA256 и PBKDF2-SHA512. но еще не реализовано.

РЕДАКТИРОВАТЬ: теперь поддерживаются PBKDF2-SHA256 и PBKDF2-SHA512. https://github.com/hamano/openldap-pbkdf2

Чтобы убедиться, пожалуйста, проверьте следующее:

  • Вы включили директивы moduleload pw-pbkdf2.so и password-hash {PBKDF2} в твоем slapd.conf?

  • Правильно ли загрузился модуль в соответствии с вашими лог-файлами?

  • Можете ли вы сгенерировать хешированный пароль pbkdf2, введя slappasswd

  • Есть ли в вашем файле журнала какие-либо записи о неудачной попытке аутентификации?