用完整的密码将用户从Keycloak迁移到LDAP

Question

我们目前有一个Keycloak领域，我们希望将所有现有用户导出到LDAP中(密码完好无损)，因此我们可以为不支持OpenID连接或SAML但支持LDAP的其他位置添加登录支持。

考虑到密码凭据是使用pbkdf2-sha256算法存储在Keycloak MySQL用户数据库中的，我必须在OpenLDAP端使用OpenLDAP 2.4.47来支持这个功能(我也相信我在配置中启用了这个模块)。

我很难使用这里描述的格式将现有的has (从Keycloak)传输到LDAP：https://github.com/hamano/openldap-pbkdf2

请原谅我使用PHP，但这是我目前最熟悉的编程语言。

我尝试使用HASH_ITERATIONS、SALT和VALUE字段，以及PHP手册中base64_encode下的注释中提供的base64url_encode自定义函数，以生成一个“适配的Base64”字符串，并在创建LDAP用户时将构建的字符串作为userPassword字段提供。用户是在LDAP中成功创建的，但我无法使用我刚刚创建的用户的凭据对LDAP进行身份验证。

/*
This example migrates a single user, to be adapted to a loop later, if it works.

NOTE: KC_* constants are defined in an external config.php file, such as:
KC_LDAP_BASEDN = "ou=users,dc=sso,dc=example,dc=com"
KC_REALM_ID = "KeycloakUserRealm"
(not actual code from config.php, but you get the point)
*/

$ldc = ldap_connect(KC_LDAP_SERVER);
ldap_set_option($ldc, LDAP_OPT_PROTOCOL_VERSION, KC_LDAP_PROTOCOL); // should be 3 in config.php
$ldb = ldap_bind($ldc, KC_LDAP_BINDDN, KC_LDAP_BINDPW);

$usertest = 'username_of_user_to_be_migrated';

// fetch user info
$u_sel = $db->query("SELECT * FROM `USER_ENTITY` WHERE `USERNAME`='".$db->real_escape_string($usertest)."' AND `REALM_ID`='".$db->real_escape_string(KC
_REALM_ID)."'");

$uinfo = $u_sel->fetch_assoc();

// fetch credential of user, type="password"
$c_sel = $db->query("SELECT * FROM `CREDENTIAL` WHERE `USER_ID`='".$db->real_escape_string($uinfo['ID'])."' AND `TYPE`='password'");

$cred = $c_sel->fetch_assoc();

$uprop = array();
$uprop['objectClass'] = array('top', 'person', 'organizationalPerson', 'inetOrgPerson');
$uprop['uid'] = $uinfo['USERNAME'];
$uprop['mail'] = $uinfo['EMAIL'];
$uprop['cn'] = $uinfo['FIRST_NAME'];
$uprop['sn'] = $uinfo['LAST_NAME'];

// also base64_decode() VALUE, since this seems to be already enocoded in base64, before re-encoding it with base64url_encode()
$uprop['userPassword'] = '{'.strtoupper($cred['ALGORITHM']).'}'.$cred['HASH_ITERATIONS'].'$'.base64url_encode($cred['SALT']).'$'.base64url_encode(base6
4_decode($cred['VALUE']));

ldap_add($ldc, 'uid='.$uprop['uid'].','.KC_LDAP_BASEDN, $uprop);

完成此操作后，我将运行第二个脚本来尝试与此用户连接：

$ldc = ldap_connect(KC_LDAP_SERVER);
ldap_set_option($ldc, LDAP_OPT_PROTOCOL_VERSION, KC_LDAP_PROTOCOL); // should be 3 in config.php

$userdn = 'uid=username_of_user_to_be_migrated,'.KC_LDAP_BASEDN;
$userpw = 'asdASD123';

$ldb = ldap_bind($ldc, $userdn, $userpw);

在执行上面的第二个脚本时，我只得到：

PHP Warning:  ldap_bind(): Unable to bind to server: Invalid credentials in /home/user/projectdir/test_ldap_user.php on line 22

凭证数据库中的示例条目如下所示：

             ID: 5718a65c-1927-4ac7-87ce-aec0c7dda296
         DEVICE: NULL
HASH_ITERATIONS: 27500
           SALT: � �??�Pz�e��X,
           TYPE: password
          VALUE: DdCJAJvuhidAC2by7TZY8I0E8HF4V6FXrPa4nSXduvSzbb+xHW3D4QiiiPpvuzL2bdk6k0kNQKS/477k5kiLzA==
        USER_ID: b06ce13f-4e8e-474e-b5ee-5d664d6f9575
   CREATED_DATE: 1561051801144
        COUNTER: 0
         DIGITS: 0
         PERIOD: 0
      ALGORITHM: pbkdf2-sha256

userPassword的输出通常如下所示：

{PBKDF2-SHA256}27500$FrcRlj8SGJJQet1l9LNYLA$DdCJAJvuhidAC2by7TZY8I0E8HF4V6FXrPa4nSXduvSzbb-xHW3D4QiiiPpvuzL2bdk6k0kNQKS_477k5kiLzA

这段代码中是否遗漏了什么以确保正确迁移密码哈希？

或者，是否已经有一个迁移脚本/解决方案来解决我尚未找到的解决Keycloak->LDAP的问题？

预先感谢您的任何帮助或推动朝正确的方向前进。

Answer 1

快速更新:我和我的一位优秀同事一起找到了一个解决方案，我想在这里发布解决方案，如果其他人被困在这上面，我希望将来可以参考。

我们发现，无论使用哪种算法，用于密钥掩蔽的密钥长度都是64字节。这也意味着，对于默认密钥长度小于64字节的算法，会重复哈希的字节序列(使其精确地达到64字节长)。在PBKDF2中，SHA-1的默认密钥长度为20字节，SHA-256为32字节，SHA-512为64字节。这使我可以使用以下PHP函数返回slappasswd返回的完全相同类型的字符串：

// Convert password credentials from Keycloak database to LDAP format (specific to PBKDF2 module)
// Parameter $cred is array from Keycloak database fields for 'CREDENTIAL' table
function password_keycloak_to_ldap($cred) {
        switch (strtolower($cred['ALGORITHM'])) {
                case 'pbkdf2':
                case 'pbkdf2-sha1':
                        $keybytes = 20;
                        break;
                case 'pbkdf2-sha256':
                        $keybytes = 32;
                        break;
                default:
                        $keybytes = 64;
                        break;
        }
        $out = '{'.strtoupper($cred['ALGORITHM']).'}'.$cred['HASH_ITERATIONS'].'$'.ab64_encode($cred['SALT']).'$';
        $oldhash = base64_decode($cred['VALUE']);
        $newhash = substr($oldhash, 0, $keybytes);
        $out .= ab64_encode($newhash);
        return $out;
}

此外，我还设置了额外的助手函数(从其他地方复制)：

// ab64_* functions adapted from Python's Passlib v1.7.1
function ab64_encode($data){
        return rtrim(strtr(base64_encode($data), '+', '.'), '=');
}

function ab64_decode($data){
        return base64_decode(strtr($data,'.', '+').str_repeat('=', 3-(3+strlen($data))%4));
}

最后，我在问题中发布的脚本中的用法将userPassword行替换为以下内容：

$uprop['userPassword'] = password_keycloak_to_ldap($cred);

我希望这有助于其他人将用户从Keycloak迁移到LDAP，并保留用户密码。

Answer 2

给出的答案在Keycloak 16.1.1中仍然相关。唯一的区别是，salt作为base64编码的字符串存储在数据库中。这意味着它只需要被转换成一个适应的base64。修改上面的函数如下所示：

function b64_to_ab64($data){
        return rtrim(strtr($data, '+', '.'),'=');
}