[Sysadmins] LDAP + пароли для пользователей в blowfish

[Andrew V. Stepanov]

У меня на LDAP сервере поле userPassword выставлено в :
{SHA}QL0AFWMIX8NRZTKeof9cXsvbvu8=
В /etc/pam_ldap.conf включена опция  "pam_password crypt".

При такой конфигурации пароль всеравно передается в открытом виде?

2010/12/9 Sergey Vlasov <vsu на altlinux.ru>:
> On Thu, 9 Dec 2010 11:24:43 +0300 Andrew V. Stepanov wrote:
>
>> Я хочу чтобы системные пользователи хранились в LDAP.
>> Я это сделал.
>> Только сейчас у меня в /etc/pam_ldap.conf пароли на проверку в LDAP
>> сервер отправляются в открытом виде:
>> pam_password clear
>
> Нужно внимательнее читать документацию pam_ldap - параметр
> pam_password влияет на способ _изменения_ пароля, а не на проверку его
> при аутентификации пользователя.  Чтобы при аутентификации пароль не
> передавался в открытом виде, необходимо использовать либо SASL (но
> методы CRAM-MD5 и DIGEST-MD5 требуют хранения пароля в открытом виде
> на сервере - т.е., в базе LDAP), либо TLS.
>
>> В каком виде занести пароль в поле userPassword чтобы pam_ldap можно
>> было включить опцию `pam_password crypt' ????
>
> "pam_password crypt" вообще использовать не стоит - это именно древний
> DES-based crypt().  На клиентской стороне pam_ldap поддерживает только
> алгоритмы хеширования паролей DES и MD5; всё остальное нужно
> настраивать на стороне сервера, передавая ему пароль в открытом виде
> (естественно, в этом случае для защиты требуется TLS).
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>