在OpenLDAP中启用密码哈希

Question

如何在OpenLDAP中启用密码哈希？看起来OpenLDAP在默认情况下将password-hash设置为{SSHA}，但是每当我使用Apache Directory Studio在userPassword属性中输入明文密码时，它仍然以明文存储。我原以为它会被OpenLDAP转换成SSHA。

我还试图将password-hash {SSHA}放入slapd.conf文件中，但没有帮助。

Answer 1

当您尝试在add/modify LDAP操作中存储userPassword属性时，userPassword值被存储为纯文本。但您可以在OpenLDAP的ppolicy overlay模块中使用ppolicy_hash_cleartext选项来覆盖此行为。启用后，当客户端发送明文密码时，默认情况下将其存储为SSHA。您可以在here的OpenLADP中找到有关启用散列密码的配置详细信息

Answer 2

当您直接设置属性时，您设置的是实际值，该值可以是散列的，也可以不是散列的(正如您已经发现的那样)。

下面引用自The FAQ：首先，使用'slappasswd‘工具生成一个密码，这样你就可以检查你的PHP例程是否正确。( slappasswd实用程序是openldap发行版的一部分)。该命令

slappasswd -h {SHA} -s supersecretpassword

可能会有所帮助。