ldap 密码存储(可以使用的加密算法及认证机制)

已于 2023-03-26 21:54:16 修改
阅读量2.2k 收藏
点赞数
分类专栏: ldap 信息安全 开源 文章标签: 哈希算法 算法
于 2023-03-26 21:38:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_22256259/article/details/129784920
版权

LDAP passwords are normally stored in the userPassword attribute. RFC4519 specifies that passwords are
not stored in encrypted (or hashed) form. This allows a wide range of password-based authentication
mechanisms, such as DIGEST-MD5 to be used. This is also the most interoperable storage scheme.

  1. SSHA password storage scheme
    This is the salted version of the SHA scheme(sha 加密算法的加盐版本). It is believed to be the most secure password storage scheme(最安全的密码存储方案)supported by slapd.
    These values represent the same password (下面这些值表示相同的密码):
    userPassword: {SSHA}DkMTwBl+a/3DQTxCYEApdUtNXGgdUac3
    userPassword: {SSHA}d0Q0626PSH9VUld7yWpR0k6BlpQmtczb
  2. CRYPT password storage scheme
    This scheme uses the operating system’s crypt(3) hash function. It normally produces the traditional
    Unix-style 13 character hash, but on systems with glibc2 it can also generate the more secure 34-byte MD5
    hash.
    userPassword: {CRYPT}aUihad99hmev6
    userPassword: {CRYPT} 1 1 1czBJdDqS$TmkzUAb836oMxg/BmIwN.1
    The advantage of the CRYPT scheme is that passwords can be transferred to or from an existing Unix
    password file without having to know the cleartext form. Both forms of crypt include salt so they have some
    resistance to dictionary attacks.
    Note: Since this scheme uses the operating system’s crypt(3) hash function, it is therefore operating system
    specific.
  3. MD5 password storage scheme
    This scheme simply takes the MD5 hash of the password and stores it in base64 encoded form:
    userPassword: {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==
    Although safer than cleartext storage, this is not a very secure scheme. The MD5 algorithm is fast, and
    because there is no salt the scheme is vulnerable to a dictionary attack.
  4. SMD5 password storage scheme
    This improves on the basic MD5 scheme by adding salt (random data which means that there are many
    possible representations of a given plaintext password). For example, both of these values represent the same
    password:
    userPassword: {SMD5}4QWGWZpj9GCmfuqEvm8HtZhZS6E=
    userPassword: {SMD5}g2/J/7D5EO6+oPdklp5p8YtNFk4=
    OpenLDAP Software 2.6 Administrator’s Guide
  5. SHA password storage scheme
    Like the MD5 scheme, this simply feeds the password through an SHA hash process. SHA is thought to be
    more secure than MD5, but the lack of salt leaves the scheme exposed to dictionary attacks. (但是缺乏盐值使该方案暴露在字典攻击下)
    userPassword: {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=
  6. SASL password storage scheme
    This is not really a password storage scheme at all. It uses the value of the userPassword attribute to delegate
    password verification to another process. See below for more information.

Note: This is not the same as using SASL to authenticate the LDAP session.

Since OpenLDAP 2.0 slapd has had the ability to delegate password verification to a separate process. This uses the sasl_checkpass(3) function so it can use any back-end server that Cyrus SASL supports for checking passwords. The choice is very wide, as one option is to use saslauthd(8) which in turn can use local files, Kerberos, an IMAP server, another LDAP server, or anything supported by the PAM mechanism.
The server must be built with the --enable-spasswd configuration option to enable pass-through
authentication.

Note: This is not the same as using a SASL mechanism to authenticate the LDAP session.

Pass-Through authentication works only with plaintext passwords, as used in the “simple bind” and “SASL PLAIN” authentication mechanisms.
Pass-Through authentication is selective: it only affects users whose userPassword attribute has a value marked with the “{SASL}” scheme. The format of the attribute is:
userPassword: {SASL}username@realm

The username and realm are passed to the SASL authentication mechanism (SASL 身份验证机制) and are used to identify the
account whose password is to be verified. This allows arbitrary mapping between entries in OpenLDAP and accounts known to the backend authentication service.
It would be wise to use access control to prevent users from changing their passwords through LDAP where
they have pass-through authentication enabled.

LDAP密码加密字符串生成器slappasswd命令的详细使用方法
zrc_xiaoguo的博客
01-12 1860
之所以要使用生成密码的方式来设置密码,主要是为了安全,我们直接以明文的方式存储在任何配置文件都可能被人看到而造成密码泄露,使用密码生成的方式即可按自己规则将明文密码转换为指定形式的加密字符串,这样无法获取到明文密码,相对来说就安全很多,但即使是这样,也不建议大家使用简单的明文密码来生成密码字符串,因为简单密码的各类加密字符串早已进入各类解密人员的字典里slappasswd是 OpenLDAP 提供的一个命令行工具,用于生成 LDAP 密码散列值。
LDAP中的用户密码MD5算法
hzcyclone的专栏
05-23 3509
好几个项目中要用到OPENLDAP,而OPENLDAP支持一个用户密码加密算法MD5。我就是一直非常郁闷,文档说支持MD5,为什么不能直接将PHP脚本MD5生成的密码直接割接过去呢?仔细捣腾了一下,发现原来是这样的。 MD5这个函数后边有个参数: string md5 ( string str [, bool raw_output]) Calculates the MD5 hash
安全登录--Springboot使用Rsa加密Ldap源进行登录认证
qq_51785096的博客
10-29 1282
注册登录一直都是工程师做系统的必经之路,毕竟这个功能相对与业务较复杂的代码来说是比较简单的。 当然,最简单的事情往往最容易出错,最为普通的注册登录就是将用户名及密码存入数据库,在用户登录时,将两者进行比对来校验是否登录成功。 此篇文档则会介绍非对称加密及Ad域认证两种登录方式。
LDAP认证用户名密码(JNDI)
11-28
亲测可以使用的,LDAP认证用户名密码使用JNDI方式认证
java ldap用户密码md5加密
discovery8090的专栏
09-17 1889
java ldap用户密码md5加密 在这里不过多介绍ldap,因为这样的文章特别多,这里就简单直接的记录这一个问题。 在springboot中通过引入spring-boot-starter-data-ldap使用LdapTemplate真的挺方便,现在遇到一个问题,添加用户时,userPasswod在ldap中显示的是明文密码,我现在要对这个userPassword加密. 而我们不做任何设置查看源码发现默认使用的是simple 1 public class SimpleDirCont
ldapmd5加密
04-23
ldap中对密码进行md5加密({MD5}ISMvKXpXpadDiUoOSoAfww==),还有ldap认证,添加,修改,删除节点操作。
ldap java 不同加密方式的登录认证
最新发布
weixin_41495225的博客
07-14 228
LDAP Java 不同加密方式的登录认证 LDAP(Lightweight Directory Access Protocol)是一种用于访问和维护分布式目录信息服务的应用层协议。在Java中,我们可以使用JNDI(Java Naming and Directory Interface)来实现LDAP的操作。其中,常见的...
网络加密认证算法 HTTP授权认证 角色访问控制模型 身份和访问管理 JWT一种认证协议 编码算法 加密算法 对称加密 加密、解密、签名、验签,密钥,证书 消息摘要 哈希散列算法
万有文的博客
04-30 798
生成数据的唯一密文,不可逆哈希 (Hash Algorithm) 散列算法,是将任意长度的数据映射为固定长度数据的算法,也称为消息摘要(主要用于数据完整性校验和加密/签名)。一般情况下,哈希算法有两个特点:原始数据的细微变化(比如一个位翻转)会导致结果产生巨大差距运算过程不可逆,理论上无法从结果还原输入数据密码哈希(Password Hash)MDMD2MD4MD5SHASHA-0SHA-1SHA-2SHA-256SHA-384SHA-512SHA-3。
SSHA.zip_SSHA_java SSHA_ssha加密
09-23
- 对于现代应用,建议使用更强大的密码存储机制,如BCrypt或Argon2,它们可以抵御专门针对哈希函数的攻击。 通过上述步骤,开发者可以使用Java实现SSHA加密,保护用户密码的安全。在实际项目中,除了密码加密,还...
LDAP认证——配置UNIX和Linux客户端使用活动目录.pdf
09-06
值得注意的是,与传统的NIS相比,LDAP支持更强大的身份验证机制,如使用SSL/TLS加密,以及对更复杂加密算法的支持,这使得它成为大型企业或有严格安全需求组织的理想选择。同时,由于大部分现代UNIX和Linux发行版都...
LDAP加密访问AD(overssl)(LDAPS )C++
05-17
通过LDAPoverSSL访问AD,可忽略证书,亲测可通,AD证书过期以及无效均可以正常访问,依赖WLdap32库,下载可自行修改AD地址和账户进行测试
LDAP认证过程内附抓包
09-20
- **MD5密码认证方式:** 使用MD5算法密码进行加密后再发送。 **2. 匿名方式** - 允许客户端以匿名身份进行绑定。 **3. SASL方式** - LDAP提供了一种基于SSL/TLS的安全认证方式,支持数字证书等高级认证手段。 ...
登录口爆破之ldap的md5加密、验证码识别
f0ng的博客
04-24 5606
登录口爆破之ldap的md5加密、验证码认证使用autoDecoder插件、captcha-killer-modified插件配合绕过
CAS统一登录认证(18): ldap sha加密算法
LinBSoft的专栏
10-09 1052
在我写的 CAS统一登录认证(13): ldap 批量导入用户 一文中,没有解决程序产生ldap,sha密码问题,后来,找到,在php中的代码 public function ldap_sha($password) { $ldap_passwd = “{SHA}”.base64_encode(pack(“H*”, sha1($password))); return $ldap_pa...
[工作日志] LDAP的SHA加密方式--Java
04-19 851
一,SHA加密相关java代码: /×× algorithm=“SHA”------pasword=密码 ×/ private String encryptLdapPassword(String algorithm, String _password) { ...
openLDAP自定义密码验证
u013484030的博客
03-18 1076
之前对接一个客户,他们直接传入明文去LDAP进行验证,但是我们写进LDAP密码是MD5加密的,这时候就需要LDAP对明文密码进行加密然后验证了。然后在openLDAP服务下的slapd.conf配置文件,加入password-hash {CRYPT}MD5配置项,然后重启openLDAP服务,这时候LDAP服务就自动对传过来的明文进行加密验证了。这时候与我们LDAP服务存的密码就不一样了,我们需要在存密码的时候进行相关转换,就可以了:注意,此处的Pwd参数是已经MD5加密之后的字符串。
LDAP基础:8:ldap用户密码确认和修改
热门推荐
知行合一 止于至善
11-17 4万+
ldap用户密码的修改可以使用ldappasswd命令,也可以使用万能的ldapmodify结合ldif文件来实现,但所修改的都是普通的用户,cn=admin的管理员用户的修改一般可以通过slappasswd来进行,由于本系列使用了openldap的docker镜像,此项功能已被封装,通过设定环境变量即可轻易实现。
php ldap 设置密码,让 LDAP 使用 MD5 加密密码小结
weixin_36257799的博客
03-20 1065
OpenLDAP 支持 CRYPT, MD5, SSHA 和 SHA 四种加密算法保存密码,默认使用 SSHA。OpenLDAP 中的 MD5 不是一般的 MD5 算法,不能用普通的 MD5 函数来生成,好像经过 Base64 转换之类的,没有深究,不是很清楚,有谁知道的希望分享一下。=========================================================...
LDAP密码加密字符串生成器slappasswd命令的详细使用方法_ldappasswd
2401_83621095的博客
04-17 597
是 OpenLDAP 提供的一个命令行工具,用于生成 LDAP 密码散列值。在 OpenLDAP 中,用户的密码通常不会以明文形式存储,而是经过加密(哈希)后存储在。可以方便地创建这些预加密密码字符串,以便于导入或配置文件中手动设置用户密码。这个字符串可以直接写入到 LDAP 数据库中的用户条目的。在创建 SMD5 散列时会自动添加盐值。这将生成一个基于 MD5 的密码散列。创建基于 SHA-1 的密码散列。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

焱宣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值