通过pam_ldap使用SSHA实现CentOS对ApacheDS的认证

Question

当CentOS被SSHA或SHA加密时，我很难让userPassword通过ApacheDS对用户进行身份验证。Crypt工作正常，但是由于其他服务的限制，我确实需要SSHA编写的这个文档。

还有其他人有这个问题吗？我确信我遗漏了一些东西，但我看不到允许pam_ldap由SSHA创作的值。

干杯，-Ed

Answer 1

抱歉，我知道问题出在哪里了。

您可以使用userPassword中的{crypt}对一个posixAccount进行身份验证，即使您没有向/etc/amam.d/system添加相关的更改。我被这个甩了。

我曾经说过：

auth        sufficient    pam_ldap.so use_first_pass
account     sufficient    pam_ldap.so
password    sufficient    pam_ldap.so ssha use_authtok use_first_pass
session     optional      pam_ldap.so

它对每个userPassword中的{SHA}和{SSHA}加密的posixAccount非常有效。

而且，奇怪的是，只有在getent shadow <user>中有一个{crypt}加密的userPassword时，才会显示密码。它永远不会出现在其他任何东西上。

干杯，-Ed