Вопрос по паролям ldap

> 2. Такое поведение шифрования crypt - нормально?

Да. Результат вывода crypt в подавляющем большинстве случаев - это две буквы sault + собственно хэш пароля. sault может и случайно генериться, тогда остаток хэша, понятно, меняется.

> В результате игр с slappasswd

В бобруйск slappasswd, не для этих она целей. Используй ldappasswd

Для шпециалстов типа себя сам отвечаю на свой вопрос. В качестве соли надо было использовать пароль. Хэш сгенирированный командой "slappasswd -h {crypt} -s word -c word" - принимается. У no-dasi много звездочек, но: 1. Использование slappasswd не удобнее, т.к после этого нужно дополнительно запустить ldapmodify ... replace: userpassword. И только. 2. Man ldappasswd был мною !перечитан! но опять таки не понято как задать для этой команды метод шифрования. Изменение параметра pam_password в /etc/ldap.conf? - У меня не сработало.

Да и man, info и howto - pam!

а вот по секрету скажи, у тебя ldap собран с поддержкой md5, да?

В debian 3.1 например нет :)

Спасибо. Шпециалисты все ставят из rpm пакета и ниочем более не думают. Проверю. Mandrake 10.1.

> В качестве соли надо было использовать пароль

Щас! sault - это два символа. Например "12":

$ slappasswd -s testtest -h '{CRYPT}' -c 12
{CRYPT}12SddsiYCoHyw
$ slappasswd -s testtest -h '{CRYPT}' -c 12
{CRYPT}12SddsiYCoHyw

Как видишь, от повторного запуска хэш не меняется :-)

> Использование slappasswd не удобнее, т.к после этого нужно дополнительно запустить ldapmodify

Вот именно. А большинству людей проще запустить одну команду, чем две (и не надо начинать нести про апострофы - типа `slappasswd ...` - я это знаю).

> Изменение параметра pam_password в /etc/ldap.conf?

Вы о чем? Параметр, отвечающий за выбор схемы хэша, используемой при смене пароля через ldappasswd, называется password-hash и живет в /etc/openldap/slapd.conf

А в /etc/ldap.conf в pam_password лежит параметр, отвечающий за то, какой хэш будет задействован при использовании команды passwd - не ldappasswd, а именно обычной /bin/passwd при включеном pam_ldap!

P.S.: вообще-то, я уже года два использую pam_ldap в связке с openldap... Хотя это ваше личное дело, прислушиваться к моим советам или нет :-)

Ты не понял, СПАСИБО. Причем без подъе...

Насчет соли - и спорить не буду и что читать не знаю :( Но тогда первые два символа - все таки пароль - иначе не пускает.

Почему пришлось использовать slappasswd - хотя бы для того чтобы как то записать хэш в slapd.conf для админа ldap базы. Для него ведь нельзя еще использовать ldappasswd. Использовался slappasswd отчасти потому что не знал уже за что и хвататься.

на моей машине man slapd.conf|grep pam_password ничего не дает. Либо ты прав, но они (авторы не написали), либо другое :)

А кавычки - это что бы ты понял, что ЯЯЯЯ не ступил хотя бы в этом. СПАСИБО

password_hash

Я ставил password_hash md5 В базе смотрел - пароли имели вид {MD5}XXXX.... но не проходили. Т.е наверное правильно - нет поддержки md5 в самом ldap?

Извини что так сумбурно, но был бы умнее - не спрашивал бы.

> Я ставил password_hash md5 В базе смотрел - пароли имели
> вид {MD5}XXXX.... но не проходили.

У тебя могли иметь место две проблемы: а) неправильно сконфигурен
PAM и б) грабля таки в OpenLDAP. Определяется это обычно тривиально
- делешь ldapsearch, в качестве binddn ему указываешь DN созданого
пользователя. Если ldapsearch смог зацепиться на сервер - то идешь
ковырять PAM, если не зацепился (написал invalid credentials например)
- то проблема в лдап-сервере.

А воообще - интересно девки пляшут... Сейчас специально сделал тест:

[user1@host ~]$ slappasswd -s zhopa -h '{MD5}'
{MD5}OcMyYPbXZx4trn8I0Qh+Ig==
[user1@host ~]$ ldapmodify -x -D cn=admin,dc=firma,dc=com -w adminpassword
dn: cn=oracle,dc=firma,dc=com
userpassword: {MD5}OcMyYPbXZx4trn8I0Qh+Ig==

modifying entry "cn=oracle,dc=firma,dc=com"

[user1@host ~]$ su - oracle
Password:  <<--- здесь я вбил слово zhopa :-)
[oracle@host ~]$

То есть все работает... Наверное ты чего-то не так делал