Поскольку pbkdf2 (функция вывода ключей на основе пароля 2) является более безопасной хеш-функцией, мне интересно, поддерживает ли текущая реализация openldap pbkdf2 (например, pbkdf2_sha256)?
Я нашел в Google некоторую информацию о поддержке pbkdf2 в openldap, но я не уверен, к какой версии openldap он применяется, или я делаю это неправильно:
Я создал сервер openldap с версией 2.4.28 на ubuntu 12.04 и использую python lib для создания хешированного пароля PBKDF2-SHA256. Затем я помещаю этот пароль PBKDF2-SHA256 в поле userPassword нового пользователя ldap следующим образом:
userPassword: '{PBKDF2-SHA256}10000$LBwTpUPGqxdH$8pDqhAruY94IhhuCZLost471pGImy//wH0pS25LO/YI='
Это не сработало. В журнале ldap не сообщается об ошибке, но по-прежнему не удается войти с исходным паролем в виде обычного текста.
Я был бы очень признателен, если бы кто-нибудь любезно дал мне комментарий или направление !!
В настоящее время модуль OpenLDAP PBKDF2 поддерживает только PBKDF2-SHA1. Имя схемы - {PBKDF2}. Возможно, у него есть совместимость с Python Passlib. У меня есть дорожная карта для PBKDF2-SHA256 и PBKDF2-SHA512. но еще не реализовано.
РЕДАКТИРОВАТЬ: теперь поддерживаются PBKDF2-SHA256 и PBKDF2-SHA512. https://github.com/hamano/openldap-pbkdf2
Чтобы убедиться, пожалуйста, проверьте следующее:
Вы включили директивы moduleload pw-pbkdf2.so
и password-hash {PBKDF2}
в твоем slapd.conf
?
Правильно ли загрузился модуль в соответствии с вашими лог-файлами?
Можете ли вы сгенерировать хешированный пароль pbkdf2, введя slappasswd
Есть ли в вашем файле журнала какие-либо записи о неудачной попытке аутентификации?