OpenLDAP上的SSHA密码加密

Question

我目前的问题是，我不能停止OpenLDAP将密码存储为明文。在较早的openLDAP版本中，我在slapd.conf中输入了以下配置

ppolicy_hash_cleartext
password-hash {SSHA} {SHA} 

因此，一旦我的应用程序以明文形式发送密码，ldap就会对其进行加密和存储。

不幸的是，我无法配置OpenLDAP 2.4.40。我发现在更新的版本中不再存在slapd.conf，而是在cn=config.ldif文件中进行配置。

我试图再次添加相同的配置，但似乎没有任何效果。

编辑：我在olcBackend={0}mdb.ldif、olcDatabase={1}mdb.ldif、olcDatabase={0}config.ldif和cn=config.ldif中添加了olcPasswordHash：{SSHA}条目，仍然将作为明文发送的密码存储为明文。

Answer 1

花了些时间，但终于弄明白了。

描述ppolicy属性的加载架构。

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/ppolicy.ldif

创建一个具有以下内容的ppolicy_module.ldif，并确保ppolicy.la位于定义的olcModulePath下。将文件存储在/etc/ldap下

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModuleLoad: ppolicy.la
olcModulePath: /usr/lib/ldap

添加ppolicy_module.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f ppolicy_module.ldif

创建具有以下内容的ppolicy-overlay.ldif文件。确保olcDatabase号码。在这种情况下，它是olcDatabase={1}mdb。将文件存储在/etc/ldap下

dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=ppolicy,ou=policies,dc=example,dc=com
olcPPolicyUseLockout: FALSE
olcPPolicyHashCleartext: TRUE

添加LDIF文件。

ldapadd -Y EXTERNAL -H ldapi:/// -f ./ppolicy-overlay.ldif

重新启动ldap。

更多详细信息见：ppolicy