Ce module permet à OpenLDAP de supporter les types de hash de mot de passe ARGON2.
slapd-contrib
dans Debian (à partir de Buster via les backports).
Il faut simplement charger le module pw-argon2 :
ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: pw-argon2 EOF
argon2
: ldapmodify -Y EXTERNAL -H ldapi:/// << EOF dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: argon2 EOF
Une fois le module chargé, les mots de passe de type ARGON2 sont supportés comme les autres types de hash : les valeurs des attributs doivent être préfixées du type de hash, par exemple :
{ARGON2}$argon2i$v=19$m=4096,t=3,p=1$D5loKjRl6BS9e8hnv0W7Pw$2e0FrS729j1q/BOpI/Qf3G+gs90SBscV6ZEd7rkdnvA
slappasswd
, il est nécessaire de charger explicitement ce module :
slappasswd -o module-load=pw-argon2 -h '{ARGON2}'
Un alias peut facilement être automatisé cela:
alias slappasswd='slappasswd -o module-load=pw-argon2 -h "{ARGON2}"'
olcPasswordHash: {ARGON2}
dans l'objet olcDatabase={-1}frontend,cn=config.