LDAP - autentizovany pristup

[Ondrej Sury]

Karel Zak <zakkr na zf.jcu.cz> writes:

> On Fri, Nov 01, 2002 at 02:13:07PM +0100, Ondrej Sury wrote:
>> Karel Zak <zakkr na zf.jcu.cz> writes:
>> 
>> > On Fri, Nov 01, 2002 at 01:38:52PM +0100, Jan Kasprzak wrote:
>> >> v jake podobe tam ma byt heslo? Neni na tohle nekde nejaky priklad?
>> >> Kdyz jsem vytvoril account/posixAccount, tak nejsem schopen zadat tam
>> >> heslo ktere funguje. Mam snahu pouzit atribut userPassword s hodnotou
>> >> vygenerovanou pomoci crypt(3), ale tohle neni ono - nemuzu se prihlasit.
>> >
>> >  LDAP ma hesla ulozena ve finalnim formatu v base64.
>> 
>> to neni pravda...  (overeno na lidech ;-)
>
>  Mam tu LDAP ktery overuje cca 5000 uctu delam to presne tim
>  algoritmem co byl popsan. Mozna zalezi na nastaveni LDAPu, o to se
>  nestaram (nejsem admin) ...jen programuji co bylo treba a generuji
>  ucty z DB do LDAPu ;-)
>
>> v LDIFu se hesla vraceji jako base64 a je to specifikovano pres
>> 
>> userPassword::
>> (:: - znamenaji base64)
>> 
>> ale hesla jdou normalne ukladat pres
>> 
>> userPassword: {SHA}nahdahlkjhaksdkhsada
>> 
>> a funguje to...  normalne takhle menim hesla pres LDIF a ukladam hesla pres
>> API...
>
>  Nerikam, ze ne (vsimnete si nepouzil jsem "to neni pravda..." :-)))

Jen jsme si nerozumeli ;-), tim ze to vase vygenerovane heslo nemelo na
zacatku typ hashovaciho algoritmu...

on totiz ldapsearch i slappasswd standardne vypisuji heslo base64
encodovane i s typem hashe.  Tedy neco co se hodne podoba tomu, co jste
napsal predtim...  A ono je to tedy dvakrat base64 encodovane.  Spravna
veta by teda znela:

LDAP ma hesla ulozene ve formatu:
{HASH}SECRET
kde HASH je typ hashovaciho algoritmu (CRYPT,MD5,SHA,SMD5,SSHA apod.)
a SECRET je base64 encodovany vystup hashovaci funkce...

takze jsme meli pravdu oba ;-))) jen to nebylo uplne...

O.

-- 
Ondrej Sury - CIO                   Globe Internet s.r.o. http://globe.cz/
Tel: +420(2)35365000 Fax: +420(2)35365009     Planickova 1, 162 00 Praha 6