Replicação da PasswordPolicy [RESOLVIDO]

danielmb
(usa Gentoo)

Enviado em 13/10/2014 - 15:56h

Quando vocẽ criptografou a senha, você rodou o comando em cada um dos servidores ou usou o mesmo hash?

danilsonjr
(usa Outra)

Enviado em 14/10/2014 - 07:50h

Usei o mesmo hash. Não gerei o hash no servidor. Gerei no link http://projects.marsching.org/weave4j/util/genpassword.php, e coloquei o mesmo hash no master e no slave.

No master:

rootpw {SSHA}xxxxx

No slave:

1)
syncrepl rid=0
...
credentials={SSHA}xxx
Não funciona

2)
syncrepl rid=0
...
credentials=password_texto_claro
Funciona

danilsonjr
(usa Outra)

Enviado em 14/10/2014 - 08:30h

Fiz os testes agora gerando a hash pelo slappasswd.

Testei gerando hash no master e aplicando em ambos o mesmo hash, e testei gerando um hash no master e aplicando no master e gerando o hash da mesma senha no slave e aplicando no slave, de nenhuma das formas funcionou.

danielmb
(usa Gentoo)

Enviado em 14/10/2014 - 09:39h

Cara, toda documentação que li até agora, o parâmetro credentials está em texto plano. :/

danilsonjr
(usa Outra)

Enviado em 14/10/2014 - 09:55h

credentials: password to use for authentication. This can be in the form of {SSHA}<hash>, as well.

Fonte: https://www.secure-computing.net/wiki/index.php/OpenLDAP/replication

danielmb
(usa Gentoo)

Enviado em 14/10/2014 - 09:58h

Tenta colocar entre aspas, por exemplo "{SSHA}<hash>"

danilsonjr
(usa Outra)

Enviado em 14/10/2014 - 10:04h

Não deu certo.

E o pior é que tenho que fazer isso funcionar, não posso ter a senha em texto claro ali uma vez que tenho usuários que necessitam acessar, eventualmente, o slave como root.

danielmb
(usa Gentoo)

Enviado em 14/10/2014 - 11:17h

Usuário acessar slave como root?
Putz cara, você tem um grande problema aí.
eu vou pesquisar com mais afinco aqui

danilsonjr
(usa Outra)

Enviado em 14/10/2014 - 11:52h

Pois é... acessando como root ele tem acesso ao arquivo de configuração e automaticamente a senha do root do master... e pode dar o comando através do slave para alterar a base no master... ai eu to ferrado... kkk

danilsonjr
(usa Outra)

Enviado em 14/10/2014 - 12:18h

"REMEMBER: simple bind credentials must be in cleartext!"

Fonte: http://linux.die.net/man/5/slapd.conf

Parti em busca de outra solução e encontrei uma relativamente simples:
Criar um usuário replicador com permissões de somente leitura na base.
E utilizar esse usuário na syncrepl, então vou continuar passando uma senha em texto claro, porém é uma senha de um usuário que tem permissões de apenas leitura na base e não mais a senha do administrador.

Vou implementar em ambiente de testes pra ver se funciona.

danielmb
(usa Gentoo)

Enviado em 03/03/2015 - 11:17h

danilson,
desculpe, comi mosca na sua dúvida.
Em toda a documentação que eu vi utilizando o ldap para sincronização, eu nunca vi a criptografia da senha. Infelizmente eu só conheço com o texto plano.