Ceci est une ancienne révision du document !
Module pw-argon2
Ce module permet à OpenLDAP de supporter les types de hash de mot de passe ARGON2.
Installation
Il faut simplement charger le module pw-argon2 :
- Créer le fichier /tmp/load-module.ldif :
cat << EOF > /tmp/load-module.ldif dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: pw-argon2 EOF
- Jouer ce LDIF via ldapmodify :
ldapmodify -x -D cn=admin,cn=config -W -f /tmp/load-module.ldif # Ou : ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/load-module.ldif
Utilisation
Une fois le module chargé, les mots de passe de type ARGON2 sont supportés comme les autres types de hash : les valeurs des attributs doivent être préfixées du type de hash, par exemple :
{ARGON2}$argon2i$v=19$m=4096,t=3,p=1$D5loKjRl6BS9e8hnv0W7Pw$2e0FrS729j1q/BOpI/Qf3G+gs90SBscV6ZEd7rkdnvA
Pour hasher un mot de passe avec l'outil CLI
slappasswd, il est nécessaire de charger explicitement ce module :
slappasswd -o module-load=pw-argon2 -h '{ARGON2}'
Un alias peut facilement être automatisé cela:
alias slappasswd='slappasswd -o module-load=pw-argon2 -h "{ARGON2}"'
Pour que les mots de passes hashés automatiquement par OpenLDAP (lors d'une modification via LDAP Password Modify Extended Operation ou accord par l'overlay ppolicy) soient en ARGON2, ajouter l'attribut
olcPasswordHash: {ARGON2} dans l'objet olcDatabase={-1}frontend,cn=config.