openldapサーバ設定で暗号化の役割

dn: uid=testuser,ou=People,dc=negabaro,dc=com
objectClass: account
objectClass: posixAccount
uid: testuser
cn: testuser
userPassword: ｘｘ(平文） にするとssh認証失敗
userPassword: {CRYPT}LOyTmj4Yn9D26 <<暗号化して設定するとssh接続可能
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/testuser

dn: cn=testuser,ou=Group,dc=negabaro,dc=com
objectClass: posixGroup
cn: testuser
gidNumber: 1000
memberUid: testuser



上記のようなldifファイルをldapサーバにいれてるのですが、

userPasswordの方を平文にするとteratermでssh接続ができません。
暗号化形式でするとteratermでssh接続できます。

というのはteraterm側で特定暗号形式ではないと

接続できないように設定してあるのでしょうか。
(ちなみにteratermでプレインテキストを使ってます。）

もしくはldapサーバ側で暗号化関連の設定があるのでしょうか。



質問何用をまとめると、なぜ平文に書くと接続できないなの？です。

もしヒントになる情報がある方、教えていただければありがたいです。

No.1 ベストアンサー 回答者： Wr5 回答日時： 2014/09/30 13:12

>userPasswordの方を平文にするとteratermでssh接続ができません。

>暗号化形式でするとteratermでssh接続できます。
>というのはteraterm側で特定暗号形式ではないと
>接続できないように設定してあるのでしょうか。

認証弾いたのは「sshサーバ」側かと思われますが…。
ということで、sshサーバ側のログを確認した方がよろしいかと思われます。
# ログレベルをdebugにしないとロクに情報出てこないかも知れませんけど。

>なぜ平文に書くと接続できないなの？

設定にもよるでしょうが…パスワードのエントリが誰にでも読めるという状況だった場合、全てのユーザのパスワードが漏れてしまう可能性があります。
となると、/etc/passwdに生パスワードが書かれているのと同じような状況ということになりますから
「セキュリティが確保できない」としてsshサーバ側が弾く可能性はあるんじゃないでしょうか？
# ネットワーク越しに参照できる分、もしかしたら/etc/passwdに生が書かれているよりは危険…かも知れません。

ldapsearchで他ユーザのエントリとか検索してみたらどうですかね？
# どんなユーザがldapサーバに登録されているのか？とかも同様に検索可能ですし…。