วิธีตรวจสอบนโยบายการจัดเก็บรหัสผ่าน ldap

ฉันได้แสดงรายการผู้ใช้พร้อมรหัสผ่านโดยใช้ ldapsearch และรหัสผ่านไม่ได้แสดงอยู่ในข้อความที่ชัดเจน แต่นั่นเป็นการยืนยันว่าไม่ได้จัดเก็บไว้ในข้อความที่ชัดเจนหรือไม่

ใช่ ไม่ บางที

ฉันคิดว่า ldapsearch และตัวอย่าง ก การซ้อนทับนโยบายรหัสผ่าน อย่าแทนที่รหัสผ่านข้อความธรรมดาที่เก็บไว้ด้วยเวอร์ชันเข้ารหัสหรือแฮชในการตอบกลับการค้นหา การเข้ารหัส/การแฮชรหัสผ่านแบบข้อความธรรมดาจะเกิดขึ้นเมื่อรหัสผ่านถูกตั้งค่า/อัปเดตเท่านั้น ฉันคิดว่าในเรื่องนั้นคุณสามารถไว้วางใจอะไรได้ ldapsearch แสดงให้คุณเห็น

แต่ทั้งสองอย่าง ldapsearch และ สแลคแคท แสดง รหัสผ่านผู้ใช้ ในรูปแบบเข้ารหัส base64 ทวิภาคคู่ :: หลังจากชื่อแอตทริบิวต์ถูกใช้เพื่อระบุว่าค่านั้นเข้ารหัสแบบ base64

 รหัสผ่านผู้ใช้:: c2VjcmV0LXBhc3N3b3JkCg==
 รหัสผ่านผู้ใช้:: e1NTSEF9RGtNVHdCbCthLzNEUVR4Q1lFQXBkVXROWEdnZFVhYzMK

คุณจะไม่ทราบจริงๆ จนกว่าคุณจะถอดรหัสสตริงอักขระฐาน 64 นั้น หากรหัสผ่านเป็นแบบแฮชหรือข้อความที่ชัดเจน หากคุณพบเฉพาะรหัสผ่านในรูปแบบ {hash prefix}เกลือ/ค่า:

 รหัสผ่านผู้ใช้: {SSHA}DkMTwBl+a/3DQTxCYEApdUtNXGgdUac3
 รหัสผ่านผู้ใช้: {SSHA}d0Q0626PSH9VUld7yWpR0k6BlpQmtczb
 รหัสผ่านผู้ใช้: {CRYPT}$1$czBJdDqS$TmkzUAb836oMxg/BmIwN.1
 รหัสผ่านผู้ใช้: {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==
 รหัสผ่านผู้ใช้: {SMD5}4QWGWZpj9GcmfuqEvm8HtZhZS6E=

ถ้าอย่างนั้นคุณก็สบายดี รหัสผ่านที่ไม่มีคำนำหน้านั้นเป็นข้อความล้วน

การตรวจสอบไฟล์ปรับแต่งไม่เพียงพอ

อย่างแท้จริง. เมื่อแฮชรหัสผ่าน/การเข้ารหัสถูกเปิดใช้งาน/เปลี่ยน ทั้งรหัสผ่านข้อความธรรมดาหรือรหัสผ่านที่มีอยู่ซึ่งเข้ารหัสด้วยอัลกอริธึมที่แตกต่างกันจะไม่ถูกแปลง
เท่าที่ฉันทราบหลังจากเปลี่ยนนโยบายรหัสผ่านเริ่มต้นแล้ว ข้อความที่ชัดเจนและรหัสผ่านที่แฮชด้วยอัลกอริทึมอื่นๆ จะไม่หยุดทำงานเช่นกัน ldap daemon จะวนซ้ำผ่านกลไกที่สนับสนุนทั้งหมดทุกครั้งที่มีการร้องขอการตรวจสอบสิทธิ์

ในการตรวจสอบเนื้อหาของข้อมูลที่จัดเก็บจริงใน OpenLDAP วิธีที่ง่ายที่สุดคือการส่งออกฐานข้อมูลเป็นรูปแบบ LDIF ที่อ่านได้ด้วย สแลคแคท ; แยกค่าแอตทริบิวต์ userPassword ทั้งหมดจาก LDIF และ base64 ที่ถอดรหัส