我以管理员身份连接到 FreeIPA LDAP(386 目录服务器)。我可以找到一个用户,并添加 userPassword 属性,例如
#!RESULT OK
#!CONNECTION ldap://freeipa1.localdomain:389
#!DATE 2014-09-15T20:59:40.323
dn: uid=user,cn=users,cn=accounts,dc=localdomain
changetype: modify
add: userPassword
userPassword:: cGFzc3dvcmQ=
-
但该属性消失了立即地. 在任何查询中我都看不到用户对象返回 userPassword 属性,作为正常或有效属性。
我确实需要该属性可设置,并在查询中可见。明文和哈希对我的应用程序来说都很好,安全方面并不重要。我应该进行哪些配置更改?
答案1
userPassword属性故意不让除cn=Directory Manager用户之外的任何人看到。如果您尝试使用该属性进行 ldapsearch,您应该会看到密码哈希。但是,您无法使用 FreeIPA 存储或显示明文密码,因为该项目试图不支持不安全的做法。
至于更改密码,请使用密码扩展操作(ldapasswd 命令使用它)。它将触发 FreeIPAipa-pwd-extop插件,该插件将更新所有依赖的密码哈希值(如 Kerberos 的krbPrincipalKey属性)。