我已配置 nss 和 pam,以便我可以通过 LDAP 向我公司的 AD 服务器验证 Linux 用户。除了密码以纯文本形式发送外,其他一切都正常。由于我无法控制的原因,我们的 AD 服务器不支持 ssl/tls,而且我认为我无法说服他们启用它。是否可以配置此功能,以便在发送密码之前对其进行哈希处理。换句话说,AD 存储哈希密码,那么为什么我不能只配置 nss 和 pam ldap 来发送已经哈希处理的密码,然后在 ldap 服务器上比较哈希值?我想我过去已经配置了其他软件包来执行此操作...
答案1
另一种方法是使用 Kerberos5 而不是仅通过 LDAP 简单绑定pam_krb5
进行身份验证。libniss
然后只使用 LDAP 来解析用户。这样至少没有纯文本密码传输,但所有 LDAP 查询当然都是以纯文本传输的 - 请注意,简单绑定查询目录所需的帐户应该是域访客或一些高度无特权的帐户等。
这也是很简单的事情。
答案2
答案3
发送预编码的密码是个糟糕的想法。目录服务器无法在不知道密码的情况下强制执行密码质量 - 这种能力的缺乏本身就是任何环境(除了最简单的环境)中的一大障碍。如果您的目录服务器无法支持加密通信,则不应将其用于此类关键应用程序。