slappasswd - OpenLDAP パスワードユーティリティ

/usr/local/sbin/slappasswd [-v] [-u] [-s secret|-T file] [-h hash] [-c salt-format]

slappasswd は、 ldapmodify (1) あるいは slapd.conf (5) の rootpw 設定ディレクティブで使える userPassword 値を生成するために使われる。

-v

冗長モードにする。

-u

RFC2307 userPassword 値を生成する(デフォルト)。 このコマンドの将来バージョンではデフォルトで別のシンタックスのものを 生成するようになる可能性がある。このオプションは上位互換性のために提供される。

-s secret

指定のパスワード secret をハッシュ化する。 これと -T を与えなければ、 ハッシュ化するパスワードを入力するためのプロンプトを出力する。 -s と -T は相互に排他的なオプションである。

-T file

指定のファイルの内容をハッシュ化する。 -s と -T は相互に排他的なオプションである。

-h scheme

オプション -h を指定する場合、次の RFC2307 スキームのいずれかを指定できる。 {CRYPT} , {MD5} , {SMD5} , {SSHA} , {SHA} . デフォルトは {SSHA} である。

利用しているコマンドインタプリタによっては、スキーム名の { と } を展開から保護する必要ある。

{SHA} と {SSHA} は SHA-1 アルゴリズム(FIPS 160-1)を使う。後者には seed が付く。

{MD5} と {SMD5} は MD5 アルゴリズム(RFC 1321)を使う。後者には seed が付く。

{CRYPT} は crypt (3) を使う。

{CLEARTEXT} は新しいパスワードを userPassword に平文で追加することを示す。

-c crypt-salt-format

{CRYPT} パスワードを生成するときに crypt (3) に渡す salt の形式を指定する。 この文字列は sprintf (3) 形式で指定する必要があり、その中に1個(1個だけ)の %s 置換を含められる。 この変換は [A-Za-z0-9./] の文字から構成されたランダムな文字列で 置き換えられる。たとえば '%.2s' は２文字の salt を提供し、'$1$%.8s' は crypt(3) のいくつかのバージョンにMD5 アルゴリズムを使うことを知らせ、 ランダムな８文字の salt を提供する。 デフォルトは '%s' で、31 文字の salt を提供する。

ハッシュ化したパスワードを実際に userPassword に格納することは、 標準(RFC2256)のスキーマ仕様に違反しており、相互運用性の障害に なる可能性がある。ハッシュ化したパスワードを保持する新しい属性 authPassword (RFC 3112)が定義されたが、 slapd (8) ではまだ実現していない。

また、crypt (3) によるハッシュ化はプラットフォームに依存するので注意すること。

パスワードをハッシュ化しておいても、プロトコル転送中の パスワードは保護されない。LDAP 簡易認証を使う前に TLS その他の盗聴防止機構を検討すべきである。

ハッシュ化したパスワード値は、それがクリアテキストのパスワードであるかのように保護すべきである。

ldappasswd (1), ldapmodify (1), slapd (8) slapd.conf (5) RFC 2307 RFC 2256 RFC 3112

"OpenLDAP 管理者ガイド" (http://www.OpenLDAP.org/doc/admin/)

OpenLDAP は OpenLDAP プロジェクト (http://www.openldap.org/ )が開発/管理している。 OpenLDAP はミシガン大学の LDAP 3.3 リリースより派生した。

稲地 稔 inachi@ldap-jp.org