FreeIPA/389 DS userPassword

Question

我正在连接到FreeIPA LDAP (386目录服务器)作为管理员。我可以找到一个用户，并添加userPassword属性如下

#!RESULT OK
#!CONNECTION ldap://freeipa1.localdomain:389
#!DATE 2014-09-15T20:59:40.323
dn: uid=user,cn=users,cn=accounts,dc=localdomain
changetype: modify
add: userPassword
userPassword:: cGFzc3dvcmQ=
-

但是，属性立即消失。在任何查询中，我都可以看到用户对象返回userPassword属性，这是一个正常的或可操作的属性。

我确实需要这个属性是可设置的，并且可以在查询中看到。对于我的应用程序来说，明文和散列都很好，从安全性的角度来说并不重要。我应该做什么配置更改？

Answer 1

userPassword属性对任何人都是不可见的，只有cn=Directory Manager用户是故意的。如果尝试使用该方法进行ldapsearch，则应该会看到密码散列。但是，您不能用FreeIPA存储或显示明文密码，因为项目试图不支持不安全的实践。

至于更改密码，请使用密码扩展操作(ldapasswd命令使用它)。它将触发FreeIPA ipa-pwd-extop插件，它将更新所有依赖的密码哈希(比如Kerberos的krbPrincipalKey属性)。