LDAP - autentizovany pristup
Ondrej Sury
sury.ondrej na globe.cz
Pátek Listopad 1 14:32:43 CET 2002
Karel Zak <zakkr na zf.jcu.cz> writes:
> On Fri, Nov 01, 2002 at 02:13:07PM +0100, Ondrej Sury wrote:
>> Karel Zak <zakkr na zf.jcu.cz> writes:
>>
>> > On Fri, Nov 01, 2002 at 01:38:52PM +0100, Jan Kasprzak wrote:
>> >> v jake podobe tam ma byt heslo? Neni na tohle nekde nejaky priklad?
>> >> Kdyz jsem vytvoril account/posixAccount, tak nejsem schopen zadat tam
>> >> heslo ktere funguje. Mam snahu pouzit atribut userPassword s hodnotou
>> >> vygenerovanou pomoci crypt(3), ale tohle neni ono - nemuzu se prihlasit.
>> >
>> > LDAP ma hesla ulozena ve finalnim formatu v base64.
>>
>> to neni pravda... (overeno na lidech ;-)
>
> Mam tu LDAP ktery overuje cca 5000 uctu delam to presne tim
> algoritmem co byl popsan. Mozna zalezi na nastaveni LDAPu, o to se
> nestaram (nejsem admin) ...jen programuji co bylo treba a generuji
> ucty z DB do LDAPu ;-)
>
>> v LDIFu se hesla vraceji jako base64 a je to specifikovano pres
>>
>> userPassword::
>> (:: - znamenaji base64)
>>
>> ale hesla jdou normalne ukladat pres
>>
>> userPassword: {SHA}nahdahlkjhaksdkhsada
>>
>> a funguje to... normalne takhle menim hesla pres LDIF a ukladam hesla pres
>> API...
>
> Nerikam, ze ne (vsimnete si nepouzil jsem "to neni pravda..." :-)))
Jen jsme si nerozumeli ;-), tim ze to vase vygenerovane heslo nemelo na
zacatku typ hashovaciho algoritmu...
on totiz ldapsearch i slappasswd standardne vypisuji heslo base64
encodovane i s typem hashe. Tedy neco co se hodne podoba tomu, co jste
napsal predtim... A ono je to tedy dvakrat base64 encodovane. Spravna
veta by teda znela:
LDAP ma hesla ulozene ve formatu:
{HASH}SECRET
kde HASH je typ hashovaciho algoritmu (CRYPT,MD5,SHA,SMD5,SSHA apod.)
a SECRET je base64 encodovany vystup hashovaci funkce...
takze jsme meli pravdu oba ;-))) jen to nebylo uplne...
O.
--
Ondrej Sury - CIO Globe Internet s.r.o. http://globe.cz/
Tel: +420(2)35365000 Fax: +420(2)35365009 Planickova 1, 162 00 Praha 6
Další informace o konferenci Linux