SLAPPASSWD

Section: Maintenance Commands (8C)
Updated: 2005/11/18
Index Return to Main Contents
 

名前

slappasswd - OpenLDAP パスワードユーティリティ  

書式

/usr/local/sbin/slappasswd [-v] [-u] [-s secret|-T file] [-h hash] [-c salt-format]

 

説明

slappasswd は、 ldapmodify(1) あるいは slapd.conf(5) の rootpw 設定ディレクティブで使える userPassword 値を生成するために使われます。  

オプション

-v
冗長モードにします。
-u
RFC2307 userPassword 値を生成します(デフォルト)。 このコマンドの将来バージョンではデフォルトで別のシンタックスのものを 生成するようになる可能性があります。このオプションは上位互換性の ために提供されます。
-s secret
指定のパスワード secret をハッシュ化します。 これと -T を与えなければ、 ハッシュ化するパスワードを入力するためのプロンプトを出力します。 -s-T は相互に排他的なオプションです。
-T file
指定のファイルの内容をハッシュ化します。 -s-T は相互に排他的なオプションです。
-h scheme
オプション -h を指定する場合、次の RFC2307 スキームのいずれかを 指定できます。 {CRYPT}, {MD5}, {SMD5}, {SSHA}, {SHA}. デフォルトは {SSHA} です。

利用しているコマンドインタプリタによっては、スキーム名の {} を展開から保護する必要あります。

{SHA}{SSHA} は SHA-1 アルゴリズム(FIPS 160-1)を使います。後者には seed が付きます。

{MD5}{SMD5} は MD5 アルゴリズム(RFC 1321)を使います。後者には seed が付きます。

{CRYPT}crypt(3) を使います。

{CLEARTEXT} は新しいパスワードを userPassword に平文で追加することを示します。

-c crypt-salt-format
{CRYPT} パスワードを生成するときに crypt(3) に渡す salt の形式を指定します。 この文字列は sprintf(3) 形式で指定する必要があり、その中に1個(1個だけ)の %s 置換を含められます。 この変換は [A-Za-z0-9./] の文字から構成されたランダムな文字列で 置き換えられます。たとえば '%.2s' は2文字の salt を提供し、'$1$%.8s' は crypt(3) のいくつかのバージョンにMD5 アルゴリズムを使うことを知らせ、 ランダムな8文字の salt を提供します。 デフォルトは '%s' で、31 文字の salt を提供します。
 

制限

ハッシュ化したパスワードを実際に userPassword に格納することは、 標準(RFC2256)のスキーマ仕様に違反しており、相互運用性の障害に なる可能性があります。ハッシュ化したパスワードを保持する新しい属性 authPassword (RFC 3112)が定義されましたが、 slapd(8) ではまだ実現していません。
また、 crypt(3) によるハッシュ化はプラットフォームに依存するので注意してください。
 

セキュリティ上の注意事項

パスワードをハッシュ化しておいても、プロトコル転送中の パスワードは保護されません。LDAP 簡易認証を使う前に TLS その他の盗聴防止機構を検討すべきです。 +.TP ハッシュ化したパスワード値は、それがクリアテキストの パスワードであるかのように保護すべきです。  

関連項目

ldappasswd(1), ldapmodify(1), slapd(8) slapd.conf(5) RFC 2307 RFC 2256 RFC 3112

"OpenLDAP 管理者ガイド" (http://www.OpenLDAP.org/doc/admin/)  

謝辞

OpenLDAP は OpenLDAP プロジェクト (http://www.openldap.org/ )が開発/管理しています。 OpenLDAP はミシガン大学の LDAP 3.3 リリースより派生しました。  

和訳

稲地 稔 <inachi@kkd.biglobe.ne.jp>

 

Index

名前
書式
説明
オプション
制限
セキュリティ上の注意事項
関連項目
謝辞
和訳