Univention Corporate Server - Handbuch für Benutzer und Administratoren

PDF herunterladen

Passwort-Hashes im Verzeichnisdienst

3.7. Passwort-Hashes im Verzeichnisdienst#

Passwort-Hashes von Benutzern werden u.a. im Attribut userPassword im Verzeichnisdienst gespeichert. Für die Generierung der Passwort-Hashes wird auf die crypt Bibliotheksfunktion zurückgegriffen. Die eigentliche Hash-Funktion kann über die Univention Configuration Registry Variable password/hashing/method definiert werden, standardmäßig wird SHA-512 verwendet.

Alternativ dazu bietet Univention Corporate Server ab UCS 4.4 erratum 887 die Möglichkeit bcrypt als Hash-Funktion für Benutzerkonten zu verwenden. Dafür muss zunächst auf allen LDAP-Servern die Univention Configuration Registry Variable ldap/pw-bcrypt auf true gesetzt werden um das nötige Modul für OpenLDAP zu aktivieren. Andernfalls ist eine Anmeldung am LDAP-Server mit einem bcrypt Hash nicht möglich. Damit beim Ändern von Passwörtern nun bcrypt Hashes generiert werden, muss ebenfalls auf allen Servern die Univention Configuration Registry Variable password/hashing/bcrypt auf true gesetzt werden.

Zusätzlich können der bcrypt Cost Factor und die bcrypt Variante über die Univention Configuration Registry Variablen password/hashing/bcrypt/cost_factor (12) und password/hashing/bcrypt/prefix (2b) angepasst werden.

Vorsicht

bcrypt ist auf maximal 72 Zeichen begrenzt. Für die Generierung der Hashes werden also nur die ersten 72 Zeichen des Passwortes verwendet.