git.sur5r.net Git - openldap/blob - contrib/slapd-modules/passwd/pbkdf2/slapo-pw-pbkdf2.5

   1 .TH SLAPD-PW-PBKDF2 5 "RELEASEDATE" "OpenLDAP LDVERSION"
   2 .\" Copyright 2015 The OpenLDAP Foundation All Rights Reserved.
   3 .\" Copying restrictions apply.  See COPYRIGHT/LICENSE.
   4 .\" $OpenLDAP$
   5 .SH NAME
   6 slapd-pw-pbkdf2 \- SHA-2 password module to slapd
   7 .SH SYNOPSIS
   8 ETCDIR/slapd.conf
   9 .RS
  10 .LP
  11 .B moduleload
  12 .B pw-pbkdf2
  13 .RE
  14 .SH DESCRIPTION
  15 .LP
  16 The
  17 .B pw-pbkdf2
  18 module to
  19 .BR slapd (8)
  20 provides support for the use of the key stretching function
  21 PBKDF2 (Password-Based Key Derivation Function 2) following RFC 2898
  22 in hashed passwords in OpenLDAP.
  23 .LP
  24 It does so by providing the following additional password schemes for use in slapd:
  25 .RS
  26 .TP
  27 .B {PBKDF2}
  28 alias to {PBKDF2-SHA1}
  29 .TP
  30 .B {PBKDF2-SHA1}
  31 PBKDF2 using HMAC-SHA-1 as the underlying pseudorandom function
  32 .TP
  33 .B {PBKDF2-SHA256}
  34 PBKDF2 using HMAC-SHA-256 as the underlying pseudorandom function
  35 .TP
  36 .B {PBKDF2-SHA512}
  37 PBKDF2 using HMAC-SHA-512 as the underlying pseudorandom function
  38 .RE
  39
  40 .SH CONFIGURATION
  41 The
  42 .B pw-pbkdf2
  43 module does not need any configuration.
  44 .LP
  45 After loading the module, the password schemes
  46 {PBKDF2}, {PBKDF2-SHA1}, {PBKDF2-SHA256}, and {PBKDF2-SHA512}
  47 will be recognised in values of the
  48 .I userPassword
  49 attribute.
  50 .LP
  51 You can then instruct OpenLDAP to use these schemes when processing
  52 the LDAPv3 Password Modify (RFC 3062) extended operations by using the
  53 .BR password-hash
  54 option in
  55 .BR slapd.conf (5).
  56
  57 .SH NOTES
  58 If you want to use the schemes described here with
  59 .BR slappasswd (8),
  60 don't forget to load the module using its command line options.
  61 The relevant option/value is:
  62 .RS
  63 .LP
  64 .B \-o
  65 .BR module\-load = pw-pbkdf2
  66 .LP
  67 .RE
  68 Depending on
  69 .BR pw-pbkdf2 's
  70 location, you may also need:
  71 .RS
  72 .LP
  73 .B \-o
  74 .BR module\-path = \fIpathspec\fP
  75 .RE
  76
  77 .SH EXAMPLES
  78 All of the userPassword LDAP attributes below encode the password
  79 .RI ' secret '.
  80 .EX
  81 .LP
  82 userPassword: {PBKDF2-SHA512}10000$/oQ4xZi382mk7kvCd3ZdkA$2wqjpuyV2l0U/a1QwoQPOtlQL.UcJGNACj1O24balruqQb/NgPW6OCvvrrJP8.SzA3/5iYvLnwWPzeX8IK/bEQ
  83 .LP
  84 userPassword: {PBKDF2-SHA256}10000$jq40ImWtmpTE.aYDYV1GfQ$mpiL4ui02ACmYOAnCjp/MI1gQk50xLbZ54RZneU0fCg
  85 .LP
  86 userPassword: {PBKDF2-SHA1}10000$QJTEclnXgh9Cz3ChCWpdAg$9.s98jwFJM.NXJK9ca/oJ5AyoAQ
  87 .EE
  88 .LP
  89 To make {PBKDF2-SHA512} the password hash used in Password Modify extended operations,
  90 simply set this line in slapd.conf(5):
  91 .EX
  92 .LP
  93 password-hash   {PBKDF2-SHA512}
  94 .EX
  95
  96 .SH SEE ALSO
  97 .BR slapd.conf (5),
  98 .BR ldappasswd (1),
  99 .BR slappasswd (8),
 100 .BR ldap (3),
 101 .LP
 102 "OpenLDAP Administrator's Guide" (http://www.OpenLDAP.org/doc/admin/)
 103 .LP
 104
 105 .SH ACKNOWLEDGEMENTS
 106 This manual page has been writen by Peter Marschall based on the
 107 module's README file written by HAMANO Tsukasa <hamano@osstech.co.jp>
 108 .LP
 109 .B OpenLDAP
 110 is developed and maintained by The OpenLDAP Project (http://www.openldap.org/).
 111 .B OpenLDAP
 112 is derived from University of Michigan LDAP 3.3 Release.