arinux

Linux サーバー設定備忘録
<< openLDAP 構築(42) - パスワードポリシー(ppolicy) (1) | main | Kaspersky Anti-Spam 3.0 for Linux (1) >>
openLDAP 構築(43) - パスワードポリシー(ppolicy) (2)


メモ パスワード履歴(pwdInHistory)


ここでは、例として 「frontale」 ユーザーでログインして、パスワードを変更してみます。Default ポリシーでは 「pwdInHistory: 2」 にセットしていますので、過去 2つの履歴が残ることになります。なお、現在のパスワードは履歴にはまだ入っていません。


  1. passwd コマンドで履歴に残っているパスワードに変更してみます。
    [frontale]$ passwd
    Changing password for user frontale.
    Enter login(LDAP) password: <現在のパスワード>
    New password: <履歴にあるパスワード>
    Retype new password: <再入力>
    LDAP password information changed for frontale
    passwd: all authentication tokens updated successfully.
    
    passwd コマンドでは、パスワード履歴を参照しません。


  2. ldappasswd コマンドでパスワードを変更してみます。
    [frontale]$ ldappasswd -x -D 'cn=kawasaki frontale,ou=people,dc=examples,dc=com' -W -S
    New password: <履歴にあるパスワード>
    Re-enter new password: <再入力>
    Enter LDAP Password: <現在のパスワード>
    Result: Constraint violation (19)
    Additional info: Password is in history of old passwords
    
    ldappasswd コマンドでは、パスワード履歴を参照します。


  3. 新しいパスワードに現在のパスワードを入力した場合は、以下のようになります。
    [frontale]$ ldappasswd -x -D 'cn=kawasaki frontale,ou=people,dc=examples,dc=com' -W -S
    New password: <現在のパスワード>
    Re-enter new password: <再入力>
    Enter LDAP Password: <現在のパスワード>
    Additional info: Password is not being changed from existing value
    



メモ パスワード履歴(pwdInHistory)- ハッシュ値


ここでは、例として 「frontale」 ユーザーでログインして、パスワードを変更してみます。Default ポリシーでは 「pwdInHistory: 2」 にセットしていますので、過去 2つの履歴が残ることになります。


  1. 現在の状況を確認します。
    [frontale]$ ldapsearch -x -h localhost uid=frontale +
    # kawasaki frontale, people, examples.com
    dn: cn=kawasaki frontale,ou=people,dc=examples,dc=com
    structuralObjectClass: inetOrgPerson
    entryUUID: db3bd614-2ab6-102c-9835-91a0fa518afd
    creatorsName: cn=Manager,dc=examples,dc=com
    createTimestamp: 20071119064610Z
    entryCSN: 20071119064610Z#000000#00#000000
    modifiersName: cn=Manager,dc=examples,dc=com
    modifyTimestamp: 20071119064610Z
    entryDN: cn=kawasaki frontale,ou=people,dc=examples,dc=com
    subschemaSubentry: cn=Subschema
    hasSubordinates: FALSE
    
    一度もパスワードを変更していない状況では、履歴は残されていません。


  2. passwd コマンドでパスワードを変更してみます。
    [frontale]$ passwd
    Changing password for user frontale.
    Enter login(LDAP) password: <現在のパスワード>
    New password:
    Retype new password:
    LDAP password information changed for frontale
    passwd: all authentication tokens updated successfully.
    
    [frontale]$ ldapsearch -x -h localhost uid=frontale +
    # kawasaki frontale, people, examples.com
    dn: cn=kawasaki frontale,ou=people,dc=examples,dc=com
    structuralObjectClass: inetOrgPerson
    entryUUID: db3bd614-2ab6-102c-9835-91a0fa518afd
    creatorsName: cn=Manager,dc=examples,dc=com
    createTimestamp: 20071119064610Z
    pwdChangedTime: 20080107075438Z
    pwdHistory: 20080107075438Z#1.3.6.1.4.1.1466.115.121.1.40#29#{MD5}bdamui2LVazu
     sTlHKGNUxw==
    entryCSN: 20080107075438Z#000000#00#000000
    modifiersName: cn=kawasaki frontale,ou=people,dc=examples,dc=com
    modifyTimestamp: 20080107075438Z
    entryDN: cn=kawasaki frontale,ou=people,dc=examples,dc=com
    subschemaSubentry: cn=Subschema
    hasSubordinates: FALSE
    
    「pwdHistory」 という属性に、過去のパスワードが保存されました。


  3. もう一度、パスワードを変更してみます。
    [frontale]$ passwd
    Changing password for user frontale.
    Enter login(LDAP) password: <現在のパスワード>
    New password:
    Retype new password:
    LDAP password information changed for frontale
    passwd: all authentication tokens updated successfully.
    
    [frontale]$ ldapsearch -x -h localhost uid=frontale +
    # kawasaki frontale, people, examples.com
    (省略)
    pwdHistory: 20080107075438Z#1.3.6.1.4.1.1466.115.121.1.40#29#{MD5}bdamui2LVazu
     sTlHKGNUxw==
    pwdHistory: 20080107080430Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}$1$hwbXI04
     3$vuoaWZfgM.iOXKAJg/zZ91
    (省略)
    
    2つ目の 「pwdHistory」 が保存されました。ハッシュは 「crypt」 になっています。


  4. ldappasswd コマンドでパスワードを変更してみます。
    [frontale]$ ldappasswd -x -D 'cn=kawasaki frontale,ou=people,dc=examples,dc=com' -W -S
    New password:
    Re-enter new password:
    Enter LDAP Password: <現在のパスワード>
    Result: Success (0)
    
    [frontale]$ ldapsearch -x -h localhost uid=frontale +
    # kawasaki frontale, people, examples.com
    (省略)
    pwdHistory: 20080107080430Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}$1$hwbXI04
     3$vuoaWZfgM.iOXKAJg/zZ91
    pwdHistory: 20080107085822Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}$1$0iPCRr7
     R$ylAQb0Wcabruo1e9Ryz531
    (省略)
    
    2つの 「pwdHistory」 は、いずれも passwd コマンドで変更したパスワードです。


  5. もう一度、ldappasswd コマンドでパスワードを変更してみます。
    [frontale@test214 frontale]$ ldappasswd -x -D 'cn=kawasaki frontale,ou=people,dc=examples,dc=com' -W -S
    New password:
    Re-enter new password:
    Enter LDAP Password: <現在のパスワード>
    Result: Success (0)
    
    [frontale]$ ldapsearch -x -h localhost uid=frontale +
    # kawasaki frontale, people, examples.com
    (省略)
    pwdHistory: 20080107085822Z#1.3.6.1.4.1.1466.115.121.1.40#41#{crypt}$1$0iPCRr7
     R$ylAQb0Wcabruo1e9Ryz531
    pwdHistory: 20080107090419Z#1.3.6.1.4.1.1466.115.121.1.40#29#{MD5}n3YK3iX+83W5
     nAIclbHr8A==
    (省略)
    
    2つ目の 「pwdHistory」 は、「MD5」 になりました。


    虫眼鏡 パスワードのハッシュ


    • passwd コマンドでは、「crypt」 でパスワードが生成されます。
    • ldappasswd コマンドでは、slapd.conf に記述したハッシュ値でパスワードが生成されます。
      password-hash {MD5}
      
    • password-hash の引数は {SSHA}, {SHA}, {SMD5}, {MD5}, {CRYPT}, {CLEARTEXT} のいずれかでなければなりません。デフォルトは {SSHA} です。


ここまで

| arinux | openldap | 17:36 | comments(2) | trackbacks(0) | pookmark |
管理者の承認待ちコメントです。
| - | 2018/05/12 5:57 PM |
管理者の承認待ちコメントです。
| - | 2018/06/16 2:02 PM |









http://arinux.net/trackback/49
      1
2345678
9101112131415
16171819202122
23242526272829
30      
<< September 2018 >>
+ SELECTED ENTRIES
+ RECENT COMMENTS
+ RECENT TRACKBACK
+ CATEGORIES
+ ARCHIVES
+ 掲載予定のタイトル
  • Wordpress
  • Pukiwiki
  • SMTPs/POPs/IMAPs
  • fml
  • Tips
+ CSS Nite
+ MOBILE
qrcode
+ LINKS
+ RECOMMEND
+ PROFILE