On Thu, 9 Dec 2010 11:24:43 +0300 Andrew V. Stepanov wrote: > Я хочу чтобы системные пользователи хранились в LDAP. > Я это сделал. > Только сейчас у меня в /etc/pam_ldap.conf пароли на проверку в LDAP > сервер отправляются в открытом виде: > pam_password clear
Нужно внимательнее читать документацию pam_ldap - параметр pam_password влияет на способ _изменения_ пароля, а не на проверку его при аутентификации пользователя. Чтобы при аутентификации пароль не передавался в открытом виде, необходимо использовать либо SASL (но методы CRAM-MD5 и DIGEST-MD5 требуют хранения пароля в открытом виде на сервере - т.е., в базе LDAP), либо TLS. > В каком виде занести пароль в поле userPassword чтобы pam_ldap можно > было включить опцию `pam_password crypt' ???? "pam_password crypt" вообще использовать не стоит - это именно древний DES-based crypt(). На клиентской стороне pam_ldap поддерживает только алгоритмы хеширования паролей DES и MD5; всё остальное нужно настраивать на стороне сервера, передавая ему пароль в открытом виде (естественно, в этом случае для защиты требуется TLS). _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
