Module pw-sha2

Ce module permet à OpenLDAP de supporter les types de hash de mot de passe SHA256 et SHA512 (et leurs dérivés avec salt).

Installation

Il faut simplement charger le module pw-sha2 :

ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: pw-sha2
EOF

Utilisation

Une fois le module chargé, les mots de passe de type SHA256 / SSSHA256 et SHA512 / SSHA512 sont supportés comme les autres types de hash : les valeurs des attributs doivent être préfixées du type de hash, par exemple :

{SSHA512}2/Mzw+w7bja3CQHZP5XWfXuTj7BoHK7Be3WAEH4WxQ6Qw5fn2iNcOr8WeJNJQsYky7KbeF9e33IIB8zXGGxzC5cmVUw=

Pour hasher un mot de passe avec l'outil CLI slappasswd, il est nécessaire de charger explicitement ce module :

slappasswd -o module-load=pw-sha2 -h '{SSHA512}'

Un alias peut facilement être automatisé cela:

alias slappasswd='slappasswd -o module-load=pw-sha2 -h "{SSHA512}"'

Pour que les mots de passes hashés automatiquement par OpenLDAP (lors d'une modification via LDAP Password Modify Extended Operation ou accord par l'overlay ppolicy) soient en SSHA512 (par exemple), ajouter l'attribut olcPasswordHash: {SSHA512} dans l'objet olcDatabase={-1}frontend,cn=config.