Ceci est une ancienne révision du document !
Module pw-sha2
Ce module permet à OpenLDAP de supporter les types de hash de mot de passe SHA256 et SHA512 (et leurs dérivés avec salt).
Installation
Il faut simplement charger le module pw-sha2 et refint :
- Créer le fichier /tmp/load-module.ldif :
dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: pw-sha2
- Jouer ce LDIF via ldapmodify :
ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif
Utilisation
Une fois le module chargé, les mots de passe de type SHA256 / SSSHA256 et SHA512 / SSHA512 sont supportés comme les autres types de hash : les valeurs des attributs doivent être préfixées du type de hash, par exemple :
{SSHA512}2/Mzw+w7bja3CQHZP5XWfXuTj7BoHK7Be3WAEH4WxQ6Qw5fn2iNcOr8WeJNJQsYky7KbeF9e33IIB8zXGGxzC5cmVUw=
Ce module n'ajoute pas le hash des mots de passe via l'outil CLI
slappasswd
.
Pour que les mots de passes hashés automatiquement par OpenLDAP (lors d'une modification via LDAP Password Modify Extended Operation ou accord par l'overlay ppolicy) soient en SSHA512 (par exemple), ajouter l'attribut
olcPasswordHash: {SSHA512}
dans l'objet cn=config.