Ecco una ripartizione di metodi e servizi pubblici comuni:
1. Algoritmi di hashing comuni per LDAP:
* {ssha} (salato sha-1): Questo è più vecchio ma ancora ampiamente supportato. Prepara un sale generato in modo casuale alla password prima di hashing con sha-1, quindi Base64 codifica il risultato insieme al sale. sha-1 è considerato crittograficamente debole e dovrebbe essere evitato in nuove distribuzioni.
* {ssha256} (salato sha-256): Un'alternativa più forte a SSHA, usando SHA-256. Preferito su SSHA.
* {ssha512} (salato sha-512): Ancora più forte di SSHA256, usando SHA-512. Consigliato per le nuove distribuzioni ove supportate.
* {md5} (md5): Questo è * altamente * scoraggiato. MD5 è rotto e non dovrebbe mai essere utilizzato per hashing password. Molti server LDAP potrebbero non permetterlo più.
* {SMD5} (salato md5): L'uso di un sale lo rende * leggermente * meglio del semplice MD5, ma ancora non consigliato. Evita anche questo.
* {Crypt} (Crypt (3)): Utilizza la funzione `Crypt ()` del sistema, che di solito è predefinita per hashing basato su DES. DES è considerato molto debole. Questa è generalmente una cattiva scelta.
* {ClearText}: La password è memorizzata in testo normale. Non usarlo mai in un ambiente di produzione.
* {pbkdf2} :(PBKDF2-SHA256, PBKDF2-SHA512) Una funzione di derivazione chiave più moderna che è più resistente agli attacchi a forza bruta. Questa è una buona scelta se il tuo server LDAP lo supporta.
2. Utilità e metodi per generare hash:
* `slappasswd` (openldap): Questa è l'utilità più comune e consigliata, soprattutto se si utilizza OpenLDAP. È progettato specificamente per generare hash password LDAP. Supporta vari algoritmi, tra cui SSHA, SSHA256, SSHA512 e altro ancora.
`` `Bash
slappasswd -s mysecretpassword # predefinito:ssha (di solito)
slappasswd -h '{ssha256}' -s mysecretpassword
slappasswd -h '{ssha512}' -s mysecretpassword
slappasswd -h '{pbkdf2}' -s mysecretpassword
`` `
`slappassWD` emette la stringa correttamente formattata, che si utilizza quindi nell'attributo` UserPassword` nella voce LDAP.
* `ldappasswd`: Questo viene utilizzato principalmente per * modificare * una password su una voce LDAP esistente. In genere utilizza gli stessi algoritmi di hashing supportati dal server LDAP. Mentre * potresti * potenzialmente usarlo per generare un nuovo hash password, `slappasswd` è lo strumento preferito per la creazione iniziale della password.
* `OpenSSL Passwd`: Questa è un'utilità di comando più generica per la generazione di hash password. Supporta una serie di algoritmi di hashing, ma devi fare attenzione a formattare correttamente l'output per LDAP. Non gestisce la generazione di sale e la codifica per te bene come "Slappasswd". Di solito è meglio usare `slappasswd` per LDAP.
`` `Bash
OpenSSL passwd -salt -sha256 mysecretpassword
`` `
Dovresti quindi preparare manualmente `{ssha256}` all'output.
* linguaggi di programmazione (Python, Perl, Java, ecc.): È possibile utilizzare le librerie in vari linguaggi di programmazione per generare gli hash. Questo ti dà la massima flessibilità, ma richiede anche di comprendere gli algoritmi di hashing e come generare e codificare correttamente il sale. Ad esempio, in Python:
`` `Python
Importa hashlib
import Base64
Import OS
def ssha256_password (password):
Salt =Os.urandom (8) # 8 byte è una buona dimensione del sale
Salted_password =password.encode ('UTF-8') + sale
hashed_password =hashlib.sha256 (saled_password) .digest ()
combinato =hashed_password + sale
codificato =base64.b64encode (combinato). decode ('ascii')
return "{ssha256}" + codificato
password_hash =ssha256_password ("mysecretpassword")
Stampa (password_hash)
`` `
Questo è solo un esempio. Dovresti regolare il codice per altri algoritmi di hashing.
* Generatori di password LDAP basati sul Web: Esistono alcuni strumenti online che possono generare hash password LDAP. Sii estremamente cauto usando questi, soprattutto con password sensibili. Stai fidando di una terza parte con la tua password. È molto più sicuro usare uno strumento locale come `slappasswd '.
3. Configurazione del server LDAP:
È fondamentale configurare il tuo server LDAP per capire quali algoritmi di hashing sono consentiti e preferiti. Ad esempio, in OpenLDAP, in genere lo configureresti in `slapd.conf` o nella configurazione dinamica usando` cn =config`.
Esempio (openldap, `cn =config`):
`` `ldif
dn:olcdatabase ={0} config, cn =config
ChangeType:modifica
Aggiungi:Olcpasswordhash
olcpasswordhash:{ssha512}
-
Aggiungi:Olcpasswordhash
Olcpasswordhash:{ssha256}
-
Aggiungi:Olcpasswordhash
olcpasswordhash:{ssha}
`` `
Questo configura il server per consentire SSHA512, SSHA256 e SSHA, in quell'ordine di preferenza. Quando un client utilizza `LDAPPASSWD` per modificare una password, il server proverà a utilizzare l'algoritmo più forte nell'elenco` Olcpasswordhash 'che il client richiede (o il primo se il client non specifica una preferenza).
4. Quale utilità scegliere:
* `slappasswd` è la scelta migliore per generare hash password iniziali. È progettato per LDAP, gestisce correttamente il sale e supporta una varietà di algoritmi. È l'approccio più sicuro e affidabile.
* Utilizzare `LDAPPASSWD` per * Modifica * password su un server LDAP esistente, poiché si integra direttamente con la configurazione del server.
* Evita `OpenSSL passwd` a meno che tu non sappia davvero cosa stai facendo e puoi formattare correttamente l'output.
* Evita i generatori di password online a causa di rischi per la sicurezza.
* I linguaggi di programmazione forniscono flessibilità ma richiedono un'attenta implementazione.
Considerazioni sulla sicurezza:
* Usa forti algoritmi di hashing: Preferisci SSHA512 o PBKDF2 se il tuo server LDAP li supporta. Evita md5, sha-1, des e testo normale.
* Usa un forte sale casuale: Il sale dovrebbe essere almeno 8 byte (64 bit) e crittograficamente casuale.
* Limita gli algoritmi di hashing consentiti: Configura il tuo server LDAP per consentire solo algoritmi di hashing forti.
* Considera le politiche sulla password: Implementare le politiche di complessità e scadenza della password per migliorare ulteriormente la sicurezza.
* Proteggi il tuo server LDAP: Proteggi il tuo server LDAP dall'accesso non autorizzato.
In sintesi, `slappasswd` è l'utilità più appropriata per la generazione di hash password LDAP. Assicurati di selezionare un forte algoritmo di hashing e configurare di conseguenza il server LDAP per una sicurezza ottimale. Dai la priorità sempre alle opzioni più sicure disponibili.
Domanda © www.354353.com