(OpenLDAP SSHA512 )

Question

因此，我们的员工使用OpenLDAP，但是，因为这不包括PosixAccount，所以我们不能自动将它链接到我们的语法。

因此，我的老板希望我创建一个OpenLDAP数据库，每6个小时左右从ZimbraLDAP自动导入用户，并将我们的语法链接到这个新的OpenLDAP，这对于我们的指针使用LDAP也是一个安全的环境。

在您问之前，我不能因为各种原因而更改Zimbra OpenLDAP。

所以一切都很好，导入的用户和语法最终都能看到这些用户。但是，密码不起作用。在查看了导出文件之后，我意识到Zimbra使用SSHA512对密码进行散列，这是我的OpenLDAP无法识别的。

然而，我似乎找不到任何方法为它安装补丁，因为显然OpenLDAP改变了它的结构，我发现的每一个信息都是过时的。

有谁知道用最近的安装来教OpenLDAP SSHA512的简单方法吗？

Answer 1

默认情况下，pw-sha2.so不会在OpenLDAP上的库存安装中启用。

您需要编辑Makefile，并从源树中的contrib/slapd-modules/passwd/sha2目录中运行make和Makefile。

接下来，需要通过向sha2中添加以下ldif来导入OpenLDAP中的cn=config模块：

dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /path/of/directory/with/pw-sha2.so
olcModuleLoad: pw-sha2

例如，在股票Debian中，这是用

ldapadd -H ldapi:/// -Y EXTERNAL -f the_five_lines_above.ldif

现在汉学可以识别sha2密码。

仅供参考(我不认为您需要它)，如果您希望在SSHA-512中使用ldappasswd更改汉学密码，还可以添加：

dn: olcDatabase={-1}frontend,cn=config
changetype: modify
replace: olcPasswordHash
olcPasswordHash: {SSHA512}