Jump to content

Format AD-LDS Attribut: userPassword

heischo

Von heischo
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

heischo Newbie

heischo   10

Geschrieben
Geschrieben

Hallo.

 

Schon länger bin ich auf der Suche nach Informationen, welche Verschlüsselungen (Hash-Formate) das Attribut userPassword im AD-LDS/ADAM unterstützt. Immer wieder wird auf RFC2307 verwiesen, aber da stehen eher allgemeine Dinge, und es sieht so aus als ob nur MD5 und SHA1 gültig sind.

 

Ich habe bereits versucht, das Passwort als SHA512 und SHA256 zu speichern, aber der Bind Versuch danach schlägt fehl.

 

Ich speichere das verschlüsselte Passwort Base64 kodiert (den Wert habe ich schon geprüft, er müsste stimmen), mit dem Präfix {SHA512} bzw. {SHA256}.

Das Passwort "secret" sieht z.B. so aus:

{SHA256}K7gNU3sdo+OL0wNhqoVWhr3g6s1xYv72ol/pe/Unols=

 

Wer kann mir folgende konkrete Fragen beantworten, oder mir einen Link zu DEM aussagekräftigen Dokument geben:

 

1. Wenn ich nur das Präfix {SHA} verwende (so wie es im RFC2307 steht), bedeutet dies automatisch dass nur SHA-1 Verschlüsselung akzeptiert wird, oder enthält AD-LDS einen Algorithmus der dann erkennt, um welche Unterart es sich handelt?

 

2. Gibt es eine Übersicht, welche Verschlüsselungen von AD-LDS (Win 2008 R2) überhaupt unterstützt werden?

 

3. Gibt es auch Unterstützung für "salted" Varianten (SSHA, salted SHA-256)? Wenn ja, wo wird dann der Salt-Wert gespeichert, den man zum Validieren ja wieder benötigt?

 

4.) Gibt es andere Möglichkeiten, die Richtigkeit des gespeicherten Passwortes zu testen, als per LDAP ein Bind mit dem entsprechenden User-DN und dem Passwort durchzuführen? (Ich glaube ich kenne die Antwort: Nein)

 

 

Hintergrund: Ich hole Daten aus diversen Quellen, und speichere sie im AD-LDS. U.a. hole ich ein Passwort aus einer SQL Datenbank (natürlich dort verschlüsselt mit AES), um es im AD-LDS im Attribut "userPasswort" als Hash zu speichern. Das AD-LDS wird dann von einem anderen Anbieter für eine SSO Lösung benutzt. Selbiger Anbieter macht aber keine Angaben zum Format, sondern sagt mir immer nur, dass es das speichernde System (also AD-LDS) ist, welches die mögliche Verschlüsselung bestimmt.

 

Viele Grüsse

Heiko

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...