私たちの組織は、事前にハッシュされたパスワード値を多くのローカルアカウントに配布しています。現在、これらのアカウントのパスワードはBlowfish($2a$[...]
)またはBlowfish-8ビット()を使用してハッシュさ$2y$[...]
れます。私たちが使用した他のディストリビューションはそれを処理できますが、RedHat / CentOSはそれを処理できないようです。glibcでのBlowfishの意図的なサポートの欠如それはすべてです。
標準のアップデートチャネルを介してサービス可能性を深刻に損なうことなく、CentOS / RedHatシステムにBlowfishハッシュを処理させる方法はありますか?
簡単な起動設定と最小限のパッケージ選択を使用してCentOS 7.2を展開します。
%packages --nobase --ignoremissing
@core
kexec-tools
%end
答え1
Ulrich Schwarzが質問に対するコメントでカスタムPAMモジュールに言及した後、私はSLES(Blowfishをデフォルトに設定)が何を使用しているかを調べることにしました。
これは別々のモジュールであり、pam_unix2.so
CentOSシステムのどれとも競合しないことがわかりました。概念証明として、/lib64/security/pam_unix2.so
SLES 11 SP4システムを/usr/lib64/security/pam_unix2.so
CentOSホストにコピーし、その依存関係をダウンロードしてインストールしました。libxcryptSuSEパッケージでもありますが、これらの狭い目的のためにCentOS 7で使用できます。
次へ追加
auth sufficient pam_unix2.so
/etc/pam.d/system-auth
コンソールでBlowfish暗号化されたパスワードを認証できます。
authconfig
次回の呼び出し時に設定が破損しないようにするには、/etc/pam.d/system-auth
指すシンボリックリンクを/etc/pam.d/system-auth-ac
に置き換える必要があります/etc/pam.d/system-auth-ac
。
ポイント:SuSEpam_unix2モジュールは、Blowfishハッシュを可能にする最も邪魔にならない方法のようです。ただし、これはセキュリティ勧告を監視する必要があることを意味します。pam_unix2そしてlibxcryptそれぞれ。