Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Tu je rozdelenie bežných metód a nástrojov:
1. Bežné hashovacie algoritmy pre LDAP:
* {ssha} (solený sha-1): Je to staršie, ale stále široko podporované. Pred hasením SHA-1 sa pripravuje náhodne generovaná soľ na heslo a potom Base64-kóduje výsledok spolu so soľou. Sha-1 sa považuje za kryptograficky slabý a malo by sa mu vyhnúť pri nových nasadeniach.
* {ssha256} (solený sha-256): Silnejšia alternatíva k SSHA pomocou SHA-256. Uprednostňoval pred Ssha.
* {ssha512} (soľný SHA-512): Ešte silnejšie ako SSHA256, s použitím SHA-512. Odporúča sa pre nové nasadenia, ak sú podporované.
* {md5} (md5): Toto je * vysoko odradené. MD5 je zlomený a nikdy by sa nemal používať na hashovanie hesla. Mnoho serverov LDAP to už nemusí dovoliť.
* {SMD5} (solá MD5): Použitie soli ju robí * mierne * lepšie ako obyčajný MD5, ale stále sa neodporúča. Vyvarujte sa aj tomu.
* {crypt} (crypt (3)): Používa funkciu `crypt ()`, ktorá zvyčajne predvolene predvolene hashingu založeného na DES. DES sa považuje za veľmi slabý. Toto je všeobecne zlá voľba.
* {clearText}: Heslo je uložené v obyčajnom texte. to nikdy nepoužívajte vo výrobnom prostredí.
* {pbkdf2} :(PBKDF2-SHA256, PBKDF2-SHA512) Modernejšia funkcia derivácie kľúčov, ktorá je odolnejšia voči útokom brutálnej sily. Toto je dobrá voľba, ak ho váš server LDAP podporuje.
2. Utility a metódy generovania hashov:
* `slappasswd` (OpenlDAp): Toto je najbežnejší a odporúčaný nástroj, najmä ak používate OpenLdap. Je navrhnutý špeciálne na generovanie hashov hesla LDAP. Podporuje rôzne algoritmy vrátane SSHA, SSHA256, SSHA512 a ďalšie.
`` `Bash
slappasswd -s mySecretPassword # Predvolené:ssha (zvyčajne)
slappasswd -h '{ssha256}' -s mySecretPassword
slappasswd -h '{ssha512}' -s mySecretPassword
slappasswd -h '{pbkdf2}' -s mySecretPassword
`` `
`slappasswd` výstupuje správne naformátovaný reťazec, ktorý potom použijete v atribúte UserPassword` vo vašom zázname LDAP.
* `ldappasswd`: Toto sa používa predovšetkým na * zmenu * hesla pri existujúcom zázname LDAP. Zvyčajne používa rovnaké hashovacie algoritmy podporované serverom LDAP. Aj keď by ste * mohli * potenciálne použiť na vygenerovanie nového hash hesla, `Slappasswd` je preferovaným nástrojom pre počiatočné vytvorenie hesla.
* `OpenSSL Passwd`: Toto je všeobecnejší nástroj na príkazový riadok na generovanie hash hesiel. Podporuje celý rad hashovacích algoritmov, ale musíte byť opatrní, aby ste pre LDAP správne formáčili výstup. Nerobí to generovanie soli a kódovanie pre vás tak pekne, ako to robí `slappasswd`. Zvyčajne je lepšie používať `slappasswd` pre LDAP.
`` `Bash
OpenSSL PassWD -Salt -sha256 MysecretPassword
`` `
Potom by ste sa museli manuálne pripraviť `{ssha256}` na výstup.
* Programovacie jazyky (Python, Perl, Java atď.): Knižnice môžete použiť v rôznych programovacích jazykoch na generovanie hashov. To vám dáva najväčšiu flexibilitu, ale tiež vyžaduje, aby ste pochopili hasiace algoritmy a ako správne generovať a kódovať soľ. Napríklad v Pythone:
`` `Python
import hashlib
import Base64
import
def ssha256_password (heslo):
soľ =os.Urandom (8) # 8 bajtov je dobrá veľkosť soli
Salted_password =heslo.enCode ('utf-8') + soľ
hashed_password =hashlib.sha256 (Salted_password) .Digest ()
kombinované =hashed_password + soľ
Encoded =base64.b64enCode (kombinované) .Decode ('ascii')
návrat "{ssha256}" + kódované
heslo_hash =ssha256_password ("mySecretPassword")
tlač (heslo_hash)
`` `
Toto je len príklad. Museli by ste upraviť kód pre ďalšie hashovacie algoritmy.
* Generátory hesiel LDAP: Existuje niekoľko online nástrojov, ktoré môžu generovať hash hesla LDAP. Buďte veľmi opatrní pomocou týchto, najmä s citlivými heslami. Dôverujete tretej strane svojím heslom. Je oveľa bezpečnejšie používať miestny nástroj ako `slappasswd`.
3. Konfigurácia servera LDAP:
Je rozhodujúce nakonfigurovať váš server LDAP, aby ste pochopili, ktoré algoritmy hashovania sú povolené a preferované. Napríklad v OpenlDAP by ste to zvyčajne nakonfigurovali v `slapd.conf` alebo v dynamickej konfigurácii pomocou` cn =config`.
Príklad (OpenlDAP, `CN =config`):
`` `ldif
dn:olcDatabase ={0} config, cn =config
Changetype:Upravte
Pridať:olcpasswordhash
olcpasswordhash:{ssha512}
-
Pridať:olcpasswordhash
olcpasswordhash:{ssha256}
-
Pridať:olcpasswordhash
olcpasswordhash:{ssha}
`` `
Toto nakonfiguruje server tak, aby umožnil SSHA512, SSHA256 a SSHA, v tomto poradí preferencie. Keď klient používa na zmenu hesla `LDAPPASSWD`, Server sa pokúsi použiť najsilnejší algoritmus v zozname„ OLCPASSWORDHASH`, ktorý klient vyžaduje (alebo prvý, ak klient nezadá preferenciu).
4. Ktorý nástroj na výber:
* `slappasswd` je najlepšia voľba na generovanie počiatočných hashov hesla. Je určený pre LDAP, správne zvláda soľ a podporuje rôzne algoritmy. Je to najbezpečnejší a najspoľahlivejší prístup.
* Použite `ldappasswd` pre * zmenu * heslá na existujúcom serveri LDAP, pretože sa integruje priamo s konfiguráciou servera.
* Vyhýbajte sa `OpenSSL Passwd`, pokiaľ skutočne neviete, čo robíte, a nedokážete správne naformátovať výstup.
* Vyhnite sa generátorom online hesiel z dôvodu bezpečnostných rizík.
* Programovacie jazyky poskytujú flexibilitu, ale vyžadujú starostlivú implementáciu.
Bezpečnostné úvahy:
* Používajte silné hashovacie algoritmy: Preferujte SSHA512 alebo PBKDF2, ak ich server LDAP podporuje. Vyhnite sa MD5, SHA-1, DES a obyčajným textom.
* Použite silnú náhodnú soľ: Soľ by mala byť najmenej 8 bajtov (64 bitov) a kryptograficky náhodná.
* obmedzte povolené hashovacie algoritmy: Nakonfigurujte server LDAP tak, aby umožňoval iba silné hashovacie algoritmy.
* Zvážte zásady hesla: Implementujte zložitosť hesla a politiky exspirácie, aby ste ďalej zlepšili bezpečnosť.
* Chráňte svoj server LDAP: Zabezpečte svoj server LDAP pred neoprávneným prístupom.
Stručne povedané, „slappasswd“ je najvhodnejší nástroj na generovanie hashov hesla LDAP. Uistite sa, že vyberiete silný algoritmus hashovania a podľa toho nakonfigurujte server LDAP pre optimálnu bezpečnosť. Vždy uprednostňujte najbezpečnejšie dostupné možnosti.