[Sysadmins] LDAP + пароли для пользователей в blowfish

[Sergey Vlasov]

On Thu, 9 Dec 2010 11:24:43 +0300 Andrew V. Stepanov wrote:

> Я хочу чтобы системные пользователи хранились в LDAP.
> Я это сделал.
> Только сейчас у меня в /etc/pam_ldap.conf пароли на проверку в LDAP
> сервер отправляются в открытом виде:
> pam_password clear

Нужно внимательнее читать документацию pam_ldap - параметр
pam_password влияет на способ _изменения_ пароля, а не на проверку его
при аутентификации пользователя.  Чтобы при аутентификации пароль не
передавался в открытом виде, необходимо использовать либо SASL (но
методы CRAM-MD5 и DIGEST-MD5 требуют хранения пароля в открытом виде
на сервере - т.е., в базе LDAP), либо TLS.

> В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
> было включить опцию `pam_password crypt' ????

"pam_password crypt" вообще использовать не стоит - это именно древний
DES-based crypt().  На клиентской стороне pam_ldap поддерживает только
алгоритмы хеширования паролей DES и MD5; всё остальное нужно
настраивать на стороне сервера, передавая ему пароль в открытом виде
(естественно, в этом случае для защиты требуется TLS).