openLDAP : changer le type de cryptage des MDP

**IvyAlice** · 30/11/2011, 11h20

Bonjour à tous,

J’espère que je poste sur la bonne partie du forum.

Voici le problème, dans notre openldap(2.4.11) les utilisateurs ont des mots de passes(userPassword) cryptés soit en ssha soit en smd5 (je suppose que c'est "hérité" d'une version précédente)

J'ai besoin de changer le type de cryptage en sha1 ou md5 et ce, pour tout le monde, et idéalement sans devoir redemander le mot de passe original à chaque utilisateur.

en plus j'ai vu avec slapcat qu'il existe aussi un champs SambaNTPasswd. Il n'apparaît pas dans la console visuelle phpldapmyadmin.
Est-ce que si le type de cryptage de userPassword change, il faut aussi changer cet attribut ?

Merci d'avance pour vos réponses,

Ivy

EDIT: Visiblement mon poste ne séduit pas, je suis donc ouverte à vos conseils et suggestions pour l'améliorer.

**CedrX** · 02/12/2011, 12h02

Est-ce que si le type de cryptage de userPassword change, il faut aussi changer cet attribut ?

J'ai déjà été confronté à ce genre de problème. Et le fait de changer le cryptage dans la base LDAP ne changera pas automatiquement le mot de passe.

Il va falloir malheureusement repasser par la case "redemander le mot de passe"

**IvyAlice** · 04/12/2011, 09h59

Salut CedrX,

Merci pour ta réponse.

Par contre sais-tu comment forcer samba à utilisé tel ou tel mode de cryptage? (si je peux le forcer à crypter en md5 au prochain changement de mot de passe, par exemple, ça serait vraiment la solution idéale)

Je me suis mal exprimée, l'"attribut" en question que je ne sais pas s'il faut changer ou non est SambaNTPasswd

Par ce que j'ai essayé de changer userPassword + le type, mais au moment du loggin windows, le nouveau mot de passe a été complétement ignoré.

Ivy

**CedrX** · 05/12/2011, 16h12

Salut IvyAlice.
Je ne pense pas que tu puisses changer l'encodage du mot de passe contenu par l'attribut sambaNTPassword.
Du moins je ne connais pas d'option dans samba qui permette de le faire (et je ne pense pas qu'il y en ait)
D'après wikipedia

NT Hash (MD4 of the little endian UTF-16 Unicode password)

**IvyAlice** · 12/12/2011, 11h26

Salut CedrX,

Merci pour ton lien.

Bon le plus simple (et p-e le plus sensé) finalement sera de forcer un nouveau type de cryptage dans slapd.conf avec le paramètre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

password-hash {SHA}

ou autre chose, selon la situation. Puis de demander à chacun de changer son mot de passe.

Ivy

openLDAP : changer le type de cryptage des MDP

Applications et environnements graphiques

Discussions similaires

Partager

Partager