[Modularit-users] Problemilla con el Samba de ModularIT

Ancor Gonzalez Sosa ancorgs at banot.net
Fri Dec 18 12:29:52 WET 2009 

El Friday 18 December 2009 12:01:40 Miguel Armas escribió:
> El día 18 de diciembre de 2009 11:49, Ancor Gonzalez Sosa
>
> <ancorgs at banot.net> escribió:
> > Pues eso es lo que queríamos conseguir nosotros, pero sin éxito. ¿Pudiste
> > hacerlo usando el campo userPassword con el formato normal de Unix?
> > Nosotros no lo conseguimos. La única opción que vemos es usar otro
> > atributo del LDAP (o cambiar ambas contraseñas en el momento que se
> > cambie en el windows), porque no sabemos como pasar de algo al estilo
> > "{SHA}blabla=" (que es la pinta que tiene el atributo userPassword en el
> > LDAP)  al tipo de SHA o MD5 que entiende Google.
>
> No estoy muy seguro, pero creo recordar que el atributo userPassword
> de OpenLDAP estaba en base64. Es decir, hacen el hash y luego lo pasan
> a base64. Esto lo mire hace tiempo con knut cuando Foton estaba
> haciendo una migracion. Igual el se acuerda mejor que yo...

Sí, el atributo está en base64 y el de Google lo requiere en base16. Pero me 
temo que ese no es nuestro problema. Si yo paso el userpassword de base64 a 
base16 (pasando o no por ascii, que es lo mismo), el resultado es una ristra 
hexadecimal larguísima, mientras que Google Apps espera otra cosa.

Si yo pongo la clave:
  "hola"     (1)
desde smbldap-tools eso se traduce (encriptado en MD5) a algo así como:
   {MD5}RgPToAwCd2ov86MLJywMYg==     (2)
que, en codificado base64, es:
e01ENX1SZ1BUb0F3Q2Qyb3Y4Nk1MSnl3TVlnPT0=    (3)
que es, ni más ni menos, el atributo userPassword de mi LDAP
Si paso eso a hexadecimal (base16) obtengo un chorizo larguíiisimo.

Sin embargo, Google, para la clave "hola" espera:
  916f4c31aaa35d6b867dae9a7f54270d     (4)
que es el MD5 de la clave "hola" pasado a hexadecimal (base16), es decir, es 
el resultado de la ejecución de la orden md5sum sobre la ristra "hola"

Pasar de (2) a (3) y viceversa es trivial (un simple cambio de base), pero no 
sé si es posible pasar de (2) -ó (3)- a (4). Eso es lo que necesito hacer, 
pero no lo he conseguido. Tal vez sean aplicaciones distintas del algoritmo 
MD5, no sé....  Tampoco sé si ha quedado claro el problema, pero al que me lo 
resuelva le regalo una cesta de navidad.

Las soluciones alternativas incluyen, como mencionaba en el otro correo, usar 
otro atributo del LDAP para guardar la contraseña en "formato MD5 de google" 
(MD5sum) o bien cambiar la contraseña de google en el momento que se cambie 
en el windows/unix. Pero nos podría muy cachondos poder usar el atributo 
userPassword tal cuál.

> Salu2!

Saludos

More information about the Modularit-users mailing list