nss/pam ldap 可以将已经散列的密码发送到 ldap 服务器吗?

nss/pam ldap 可以将已经散列的密码发送到 ldap 服务器吗?

我已配置 nss 和 pam,以便我可以通过 LDAP 向我公司的 AD 服务器验证 Linux 用户。除了密码以纯文本形式发送外,其他一切都正常。由于我无法控制的原因,我们的 AD 服务器不支持 ssl/tls,而且我认为我无法说服他们启用它。是否可以配置此功能,以便在发送密码之前对其进行哈希处理。换句话说,AD 存储哈希密码,那么为什么我不能只配置 nss 和 pam ldap 来发送已经哈希处理的密码,然后在 ldap 服务器上比较哈希值?我想我过去已经配置了其他软件包来执行此操作...

答案1

另一种方法是使用 Kerberos5 而不是仅通过 LDAP 简单绑定pam_krb5进行身份验证。libniss然后只使用 LDAP 来解析用户。这样至少没有纯文本密码传输,但所有 LDAP 查询当然都是以纯文本传输的 - 请注意,简单绑定查询目录所需的帐户应该是域访客或一些高度无特权的帐户等。

这也是很简单的事情。

答案2

不是,因为攻击者要想冒充用户就必须获取哈希值,而不需要破解它,这使得密码存储的哈希方面变得毫无意义。

满足这种需求的方法是某种质询/响应认证(第一章氢键MACNTLM..),我不相信这是原始 LDAP 连接中的一个选项。

SSL 在域控制器上启用起来非常容易 - 如果它具有适当的证书,它是自动的 - 所以,我建议说服当权者走这条路。

答案3

发送预编码的密码是个糟糕的想法。目录服务器无法在不知道密码的情况下强制执行密码质量 - 这种能力的缺乏本身就是任何环境(除了最简单的环境)中的一大障碍。如果您的目录服务器无法支持加密通信,则不应将其用于此类关键应用程序。

相关内容