nss/pam ldap 可以将已经散列的密码发送到 ldap 服务器吗？

Question 1

另一种方法是使用 Kerberos5 而不是仅通过 LDAP 简单绑定pam_krb5进行身份验证。libniss然后只使用 LDAP 来解析用户。这样至少没有纯文本密码传输，但所有 LDAP 查询当然都是以纯文本传输的 - 请注意，简单绑定查询目录所需的帐户应该是域访客或一些高度无特权的帐户等。

这也是很简单的事情。

Answer

另一种方法是使用 Kerberos5 而不是仅通过 LDAP 简单绑定pam_krb5进行身份验证。libniss然后只使用 LDAP 来解析用户。这样至少没有纯文本密码传输，但所有 LDAP 查询当然都是以纯文本传输的 - 请注意，简单绑定查询目录所需的帐户应该是域访客或一些高度无特权的帐户等。

这也是很简单的事情。

Question 2

不是，因为攻击者要想冒充用户就必须获取哈希值，而不需要破解它，这使得密码存储的哈希方面变得毫无意义。

满足这种需求的方法是某种质询/响应认证（第一章，氢键MAC，NTLM..），我不相信这是原始 LDAP 连接中的一个选项。

SSL 在域控制器上启用起来非常容易 - 如果它具有适当的证书，它是自动的 - 所以，我建议说服当权者走这条路。

Answer

不是，因为攻击者要想冒充用户就必须获取哈希值，而不需要破解它，这使得密码存储的哈希方面变得毫无意义。

满足这种需求的方法是某种质询/响应认证（第一章，氢键MAC，NTLM..），我不相信这是原始 LDAP 连接中的一个选项。

SSL 在域控制器上启用起来非常容易 - 如果它具有适当的证书，它是自动的 - 所以，我建议说服当权者走这条路。

Question 3

发送预编码的密码是个糟糕的想法。目录服务器无法在不知道密码的情况下强制执行密码质量 - 这种能力的缺乏本身就是任何环境（除了最简单的环境）中的一大障碍。如果您的目录服务器无法支持加密通信，则不应将其用于此类关键应用程序。

Answer

发送预编码的密码是个糟糕的想法。目录服务器无法在不知道密码的情况下强制执行密码质量 - 这种能力的缺乏本身就是任何环境（除了最简单的环境）中的一大障碍。如果您的目录服务器无法支持加密通信，则不应将其用于此类关键应用程序。

nss/pam ldap 可以将已经散列的密码发送到 ldap 服务器吗？

答案1

答案2

答案3

相关内容