Может ли nss/pam ldap отправить пароль на уже хэшированный сервер ldap?
Я настроил nss & pam так, чтобы я мог аутентифицировать пользователей linux через LDAP на сервере AD моей компании. Все работает отлично, кроме пароля отправляются в виде простого текста. По независящим от меня причинам наш сервер AD не поддерживает ssl/tls, и я не думаю, что смогу убедить их включить его. Можно ли настроить это так, чтобы пароли хешировались до их отправки. Другими словами, AD хранит хэши паролей, так почему я не могу просто настроить nss & pam ldap для отправки уже хэшированного пароля, а затем сравнить хеш на сервере ldap. Я думаю, что я настраивал другие пакеты программного обеспечения, чтобы сделать это в прошлом...
3 ответа
Альтернативой может быть использование Kerberos5 вместо простого связывания LDAP просто через pam_krb5 только для аутентификации. libniss будет использовать только LDAP для разрешения пользователей. Таким образом, по крайней мере, нет передачи пароля в виде простого текста, но все запросы LDAP, конечно, передаются в виде простого текста. Обратите внимание, что учетной записью, необходимой для простого связывания для запроса каталога, должна быть учетная запись гостя домена или какая-либо крайне непривилегированная учетная запись и т. Д.
Это тоже тривиально.
Нет, потому что в этом случае злоумышленнику потребуется всего лишь выдать себя за пользователя, чтобы получить хеш, без необходимости его взлома, что делает бессмысленным хеширующий аспект хранения пароля.
Подход, который удовлетворял бы такой потребности, был бы своего рода аутентификацией запроса / ответа ( CHAP, HMAC, NTLM...), которая, я не думаю, является опцией в необработанном соединении LDAP.
SSL действительно легко включить на контроллере домена - он автоматический, если у него есть соответствующий сертификат - поэтому я бы посоветовал убедить его в этом.
Отправка предварительно закодированных паролей - ужасная идея. Сервер каталогов не может обеспечить качество пароля, не зная пароля - такое отсутствие возможностей само по себе является нарушителем в любой, кроме самой тривиальной среде. Если ваш сервер сервера каталогов не может поддерживать зашифрованную связь, то он не должен использоваться для критических приложений этого типа.