我有nss&配置pam,以便我可以通过LDAP对我公司的AD服务器验证
linux用户.除密码以纯文本形式发送外,一切正常.由于我无法控制的原因,我们的AD服务器
不支持ssl / tls,我不认为我可以说服他们打开它.是否可以对其进行配置,以便在发送密码之前对其进行哈希处理.所以换句话说AD存储密码哈希所以为什么我不能只配置nss& pam ldap发送已经散列的密码,然后在ldap服务器上比较散列.我想我已经配置了其他软件包来做到这一点……
另一种
方法是使用Kerberos5代替LDAP简单绑定,只需通过pam_krb5进行身份验证.然后,libniss将仅使用LDAP来解析
用户.这种方式至少没有纯文本密码传输,但所有LDAP
查询当然都是以纯文本形式传输的 – 请注意,
查询目录的简单绑定所需的帐户应该是Domain Guest或一些高度无特权的帐户等.
这也是微不足道的.
