informatique:reseau:ldap:pw-argon2 [Zionetrix]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.

====== Module pw-argon2 ======

Ce module permet à OpenLDAP de supporter les types de hash de mot de passe ARGON2.

<note tip>Ce module est fourni dans le paquet ''slapd-contrib'' dans Debian (à partir de Buster via les backports).</note>
===== Installation =====

Il faut simplement charger le module //pw-argon2// : <code bash>ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: pw-argon2
EOF</code>

<note tip>Depuis OpenLDAP 2.5, le module a été renommé ''argon2'' : <code bash>ldapmodify -Y EXTERNAL -H ldapi:/// << EOF
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: argon2
EOF</code>
</note>
===== Utilisation =====

Une fois le module chargé, les mots de passe de type **ARGON2** sont supportés comme les autres types de //hash// : les valeurs des attributs doivent être préfixées du type de //hash//, par exemple : <code>{ARGON2}$argon2i$v=19$m=4096,t=3,p=1$D5loKjRl6BS9e8hnv0W7Pw$2e0FrS729j1q/BOpI/Qf3G+gs90SBscV6ZEd7rkdnvA</code>

<note tip>Pour //hasher// un mot de passe avec l'outil CLI ''slappasswd'', il est nécessaire de charger explicitement ce module :
<code bash>slappasswd -o module-load=pw-argon2 -h '{ARGON2}'</code>
Un alias peut facilement être automatisé cela:
<code bash>alias slappasswd='slappasswd -o module-load=pw-argon2 -h "{ARGON2}"'</code>
</note>

<note important>Pour que les mots de passes hashés automatiquement par OpenLDAP (lors d'une modification via //LDAP Password Modify Extended Operation// ou accord par l'overlay [[ppolicy]]) soient en //ARGON2//, ajouter l'attribut ''olcPasswordHash: {ARGON2}'' dans l'objet //olcDatabase={-1}frontend,cn=config//.</note>