密碼加密
您可以使用 IBM® Security Directory Server 來防止未獲授權存取使用者密碼。 透過使用單向加密格式,使用者密碼可以加密並儲存在目錄中。 加密可防止任何使用者以及系統管理者存取清除密碼。
管理者可以配置伺服器以單向加密格式或雙向加密格式來加密 userPassword 屬性值。
- Crypt
- MD5
- PBKDF2
- SHA-1
- Salted SHA-1
- SHA-2
- Salted SHA-2
配置伺服器之後,任何新密碼 (適用於新使用者) 或已修改的密碼 (適用於現有使用者) 都會先加密,然後再儲存在目錄資料庫中。 加密密碼會以加密演算法名稱標示,因此以不同格式加密的密碼可以同時存在於目錄中。 當加密配置變更時,現有的加密密碼會維持不變,並繼續運作。
對於需要擷取清除密碼的應用程式 (例如中層鑑別代理程式) ,目錄管理者需要將伺服器配置為對使用者密碼執行雙向加密或不加密。 在此實例中,目錄 ACL 機制會保護儲存在目錄中的清除密碼。
- AES
提供雙向加密選項 AES ,以容許在目錄中加密 userPassword 屬性的值,並以原始清除格式擷取作為項目的一部分。 它可以配置為使用 128、192 及 256 位元金鑰長度。 部分應用程式 (例如中層鑑別伺服器) 需要以明碼格式擷取密碼,不過,公司安全原則可能會禁止在次要永久儲存體中儲存明碼密碼。 此選項同時滿足這兩項需求。
如果連結要求中提供的密碼符合 userPassword 屬性的任何多個值,則簡式連結會成功。
- 無
- 沒有加密。 密碼以明碼格式儲存。
- Crypt
- 在目錄中儲存密碼之前, UNIX 加密加密演算法會先將密碼加密。
- PBKDF2
- 在將密碼儲存在目錄中之前, PBKDF2 系列的加密演算法會先對密碼進行加密。 下列清單說明 PBKDF2 系列加密演算法下支援的加密方法:
- PBKDF2-SHA1
- PBKDF2-SHA224
- PBKDF2-SHA256
- PBKDF2-SHA384
- PBKDF2-SHA512
附註: 您無法使用「Web 管理工具」來配置 PBKDF2 演算法。 請使用標準 LDAP 修改作業來配置此演算法。 - MD5
- 密碼先由 MD5 Message Digest 演算法進行加密,然後再儲存在目錄中。
- SHA-1
- 密碼先由 SHA-1 加密演算法進行加密,然後再儲存在目錄中。
- Salted SHA-1
- 密碼先由 Salted SHA-1 加密演算法進行加密,然後再儲存在目錄中。
- SHA-2
- 密碼先由 SHA-2 系列加密演算法進行加密,然後再儲存在目錄中。 加密演算法的 SHA-2 系列下支援下列加密方法:
- SHA-224
- SHA-256
- SHA-384
- SHA-512
- Salted SHA-2
- 密碼先由 Salted SHA-2 系列加密演算法進行加密,然後再儲存在目錄中。 加密演算法的 Salted SHA-2 系列下支援下列加密方法:
- SSHA-224
- SSHA-256
- SSHA-384
- SSHA-512
- AES128
- 密碼在儲存在目錄中之前,會先由 AES128 演算法加密,並以原始明碼格式擷取作為項目的一部分。
- AES192
- 密碼在儲存在目錄中之前,會先由 AES192 演算法加密,並以原始明碼格式擷取作為項目的一部分。
- AES256
- 密碼在儲存在目錄中之前,會先由 AES256 演算法加密,並以原始明碼格式擷取作為項目的一部分。
imask 格式不再是加密選項。 不過,任何現有的 imask 加密值仍可運作。ibm-SlapdPwEncryption: AES256<instance_directory>\etc\ibmslapd.conf 除了 userPassword之外, secretKey 屬性的值一律在目錄中加密 "AES256"。 與 userPassword不同,會對 secretKey的值施行此加密。 未提供其他選項。 secretKey 屬性是 IBM定義的綱目。 應用程式可以使用此屬性來儲存需要一律在目錄中加密的機密資料,以及使用目錄存取控制以明碼格式擷取資料。
如需配置檔的相關資訊,請參閱 IBM Security Directory Server 文件 中的 安裝與配置 小節。
若要指定密碼加密類型,請使用下列其中一種方法:
- 如果使用 UNIX crypt 方法,則只有前 8 個字元有效。
- 單向加密密碼可用於密碼比對,但無法解密。 在使用者登入期間,登入密碼會加密並與儲存的版本進行比較,以進行比對驗證。