web-dev-qa-db-ja.com

Active Directoryのデフォルトのハッシュ形式/アルゴリズムは何ですか?

LDAP経由で serPassword に書き込むために、ハッシュをどの形式で入力する必要があるのか​​疑問に思っています。 Apache Directory Studioにはいくつかのオプションがありますが、どれもそうではないと思います。 AD 2003r2でデフォルトで使用される適切なエンコーディングとアルゴリズムを文書化できる人はいますか?

6
jldugger

LDAP経由でActiveDirectoryにパスワードハッシュを書き込むことはできません。 "unicodePwd"属性を更新 LDAP overSSLを介して行うことができます。 (SSLを使用していない場合は、「サーバーは要求を処理することを望んでいません。」エラー0x80072035が返されます)。

ただし、生のハッシュをディレクトリに書き込むための「サポートされている」メカニズムはありません。

10
Evan Anderson

このKB記事 は、ユーザーのunicodePwd属性に(プレーンテキストパスワードの)ユニコードオクテット文字列としてパスワードを書き込むことができることを示します。これはWindows2000について説明されていますが、私が知る限り、これは変更されていません。

このブログ投稿 プロセスを実装するPerlスクリプトが含まれており、詳細を確認できます。 これは別の例です Javaの場合。

userPassword属性はunicodePwdのエイリアスだと思いますが、それが本当かどうかは実際にはわかりません。

注:ユーザーのパスワードを更新するには、LDAPへのSSL接続を使用する必要があります。 ADは、暗号化されていないチャネルを介したパスワードの更新を許可しません。

3
Handyman5