
Hi Lennart,<div><br></div><div>Sure, but for this case, Google Directory Sync only support plain SHA-1 or MD5.</div><div><br></div><div>Best Regards</div><div><br clear="all">Alexandre Alencar<br>Twitter @alexandreitpro<br>


<div><a href="http://blog.alexandrealencar.net/" target="_blank">http://blog.alexandrealencar.net/</a><br><a href="http://www.alexandrealencar.net/" target="_blank">http://www.alexandrealencar.net/</a></div><div><a href="http://www.alexandrealencar.com" target="_blank">http://www.alexandrealencar.com</a></div>


<div><a href="http://www.servicosdeti.com.br/" target="_blank">http://www.servicosdeti.com.br/</a></div><div>COBIT, ITIL, CSM, LPI, MCP-I<br><div><br></div></div><br>

<br><br><div class="gmail_quote">On Fri, Aug 19, 2011 at 4:34 PM, Lennart Sorensen <span dir="ltr"><<a href="mailto:lsorense-1wCw9BSqJbv44Nm34jS7Gw@public.gmane.org.ca">lsorense-1wCw9BSqJbv44Nm34jS7GywD8/FfD2ys@public.gmane.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">


<div class="im">On Fri, Aug 19, 2011 at 04:30:11PM -0300, Alexandre Cavalcante Alencar wrote:<br>

> Willian, you can do so by changing *password-hash *param from your<br>

> slapd.conf file. This param takes one or more hashing functions to be used<br>

> for storing password hashed version.<br>

><br>

> As stated in slapd.conf (5) man page:<br>

><br>

> {SHA} and {SSHA} use the SHA-1 algorithm (FIPS 160-1), the latter with a<br>

> seed as of {MD5} and {SMD5} use the MD5 algorithm (RFC 1321), the latter<br>

> with a seed.<br>

<br>

</div>Of course the seed makes it vastly harder to crack and is hence<br>

recommended.  So given the choice if you want hard to crack hashes,<br>

use SSHA, not SHA.  Or use the available plugin and go to SHA2 instead.<br>

<div class="im"><br>

> You can add the following to make your setup work<br>

><br>

> password-hash {SSHA} {SHA}<br>

><br>

> or<br>

><br>

> password-hash {SSHA} {MD5}<br>

><br>

> This will add a new userPassword attribute to objects when they call the<br>

> LDAP Password Modify Extended Operations (RFC 3062).<br>

><br>

> As of stated in man page:<br>

><br>

> Note that this option does not alter the normal user applications handling<br>

> of userPassword during LDAP Add, Modify, or other LDAP operations.<br>

><br>

> After making the change in slapd.conf, you need to restart the deamon and<br>

> let all users change their passwords (in normal fashion or forced by<br>

> password expire).<br>

<br>

</div><font color="#888888">--<br>

Len Sorensen<br>

</font><div><div></div><div class="h5">--<br>

The Toronto Linux Users Group.      Meetings: <a href="http://gtalug.org/" target="_blank">http://gtalug.org/</a><br>

TLUG requests: Linux topics, No HTML, wrap text below 80 columns<br>

How to UNSUBSCRIBE: <a href="http://gtalug.org/wiki/Mailing_lists" target="_blank">http://gtalug.org/wiki/Mailing_lists</a><br>

</div></div></blockquote></div><br></div>