請教有關 userPassword 這欄位的問題

[bojack]

請教各位先進一個有關 userPassword 的問題

這是小弟的 ldif

程式碼:

dn: cn=test5,ou=employee,dc=ldap,dc=bojack,dc=com,dc=tw
uid: test5
cn: test5
objectClass: account
objectClass: posixAccount
userPassword: password
loginShell: /bin/bash
uidNumber: 2005
gidNumber: 2005
homeDirectory: /home/test5
gecos: Bojack Test 5

當我今天加入到我的 LDAP 後
# ldapadd -x -D "cn=root,dc=ldap,dc=bojack,dc=com,dc=tw" -W -f user.ldif

我再去 slapcat 結果會發現下面的結果

程式碼:

dn: cn=test5,ou=employee,dc=ldap,dc=bojack,dc=com,dc=tw
uid: test5
cn: test5
objectClass: account
objectClass: posixAccount
userPassword:: cGFzc3dvcmQ=
loginShell: /bin/bash
uidNumber: 2005
gidNumber: 2005
homeDirectory: /home/test5
gecos: Bojack Test 5
structuralObjectClass: account
entryUUID: bb94a626-cfc7-102d-80f9-f78d07cf55e8
creatorsName: cn=root,dc=ldap,dc=bojack,dc=com,dc=tw
createTimestamp: 20090508025737Z
entryCSN: 20090508025737Z#000000#00#000000
modifiersName: cn=root,dc=ldap,dc=bojack,dc=com,dc=tw
modifyTimestamp: 20090508025737Z

找了一篇文章發現 userpassword 是用 base64 編碼顯示

若我用mmencode去處理 "cGFzc3dvcmQ=" 則會帶回我原本輸入的密碼，用 php 去抓 userPassword 也是會抓回原來的明碼密碼

我希望能像各位學長一樣，在輸入 LDAP 時能以 MD5 / SSHA / CRYPT 方式加密，不要讓我去抓回來是原本的明碼

我在 slapd.conf 已經有加入 password-hash   {CRYPT}/{MD5}/{SSHA} 這３種

但發現密碼還是沒有經過加密再存入 LDAP 中，不知道有何方式可以解決呢？

謝謝各位學長

[twu2]

已經存在的資料, 並不會因為你的設定而改變吧. 應該再改一次密碼才會改變.
如果你是直接指定 userPassword 這個屬性的值, 那本來就是你塞什麼就是什麼, ldap 並不會幫你去改變.

已經存在的資料, 可能要自己一個一個去改, 像是這樣子.
http://phorum.study-area.org/index.php/topic,50725.msg258741.html#msg258741

[bojack]

謝謝 twu2 學長的回覆

所以意思是說，當我要塞 ldif 進 LDAP 時

必須先以 slappasswd -h "{MD5}" 的方式來產生加密後的密碼後

用來取代原本的 userPassword 屬性值囉 ?

那麼另一個疑問就是在 slapd.conf 裡 password-hash 這個參數

我參考 O'Reilly 的 LDAP 系統管理內文是說

程式碼:

password-hash 參數係用來定義，將會作為 userPassword 屬性值的預定加密機制。

但即使我在設定檔加入此設定，該怎麼確認這參數的用途呢？

非常謝謝