双份密码
ODOO配置LDAP模式后,同一个用户有本地密码和LDAP密码,可相同也可不同,两个密码只要任意一个通过验证都可以登录系统
本地密码
本地密码修改需要先验证旧密码是否正确,根据上条定律任意一个本地或远程原密码通过验证即可更新本地新密码
远程密码
远程密码可以做为超级密码来不断重置本地密码
管理模式
配置新增ldap_binddn_admin布尔属性用于确认是否启用LDAP binddn管理员模式,即授权SUPERUSER直接修改用户LDAP远程密码
改密区别
1、本地和LDAP密码相同,本地和LDAP都更新为新密码
2、本地和LDAP密码不同,本地旧密码通过验证,直接更新本地新密码,但LDAP无法通过验证同步修改
3、本地和LDAP密码不同,LDAP旧密码通过验证,直接更新本地与LDAP新密码
odoo自带的auth_ldap模块虽然实现了ldap统一账户的验证,但如果用户一旦修改密码就变成同名的本地用户。这是因为odoo默认先验证本地res.users信息,如果没有记录,或者有记录但密码字段为空才会去ldap服务器验证
根据其原理,可以在修改密码的时候对接上ldap的密码信息就完美了,但用modify指令写入的userPassword值是原文存储,即明文直接写入在服务器也是明文,这就需要在请求端预先加密成ldap标准的密文格式
网上看到有很多php的实现都是要写点代码什么的,照葫芦折腾几下才发现python的passlib库居然有现成拿来即用的函数
|
1 2 3 |
>>> from passlib.hash import ldap_salted_sha1 as ssha >>> ssha.encrypt("test", salt_size=16) '{SSHA}tiULq3HOY1XRLW+bjGkHe3awnZCHcE5JSam1tnaOce49B4Dw' |
以此类推
|
1 2 3 |
>>> import passlib.hash >>> dir(passlib.hash) ['__class__', '__delattr__', '__dict__', '__dir__', '__doc__', '__format__', '__getattr__', '__getattribute__', '__hash__', '__init__', '__module__', '__name__', '__new__', '__package__', '__reduce__', '__reduce_ex__', '__repr__', '__setattr__', '__sizeof__', '__str__', '__subclasshook__', '__weakref__', 'apr_md5_crypt', 'atlassian_pbkdf2_sha1', 'bcrypt', 'bcrypt_sha256', 'bigcrypt', 'bsd_nthash', 'bsdi_crypt', 'cisco_pix', 'cisco_type7', 'crypt16', 'cta_pbkdf2_sha1', 'des_crypt', 'django_bcrypt', 'django_bcrypt_sha256', 'django_des_crypt', 'django_disabled', 'django_pbkdf2_sha1', 'django_pbkdf2_sha256', 'django_salted_md5', 'django_salted_sha1', 'dlitz_pbkdf2_sha1', 'fshp', 'grub_pbkdf2_sha512', 'hex_md4', 'hex_md5', 'hex_sha1', 'hex_sha256', 'hex_sha512', 'htdigest', 'ldap_bcrypt', 'ldap_bsdi_crypt', 'ldap_des_crypt', 'ldap_hex_md5', 'ldap_hex_sha1', 'ldap_md5', 'ldap_md5_crypt', 'ldap_pbkdf2_sha1', 'ldap_pbkdf2_sha256', 'ldap_pbkdf2_sha512', 'ldap_plaintext', 'ldap_salted_md5', 'ldap_salted_sha1', 'ldap_sha1', 'ldap_sha1_crypt', 'ldap_sha256_crypt', 'ldap_sha512_crypt', 'lmhash', 'md5_crypt', 'msdcc', 'msdcc2', 'mssql2000', 'mssql2005', 'mysql323', 'mysql41', 'nthash', 'oracle10', 'oracle11', 'pbkdf2_sha1', 'pbkdf2_sha256', 'pbkdf2_sha512', 'phpass', 'plaintext', 'postgres_md5', 'roundup_plaintext', 'scram', 'sha1_crypt', 'sha256_crypt', 'sha512_crypt', 'sun_md5_crypt', 'unix_disabled', 'unix_fallback'] |
其中ldap_bcrypt,ldap_bsdi_crypt,ldap_des_crypt,ldap_hex_md5,ldap_hex_sha1,ldap_md5,ldap_md5_crypt,ldap_pbkdf2_sha1,ldap_pbkdf2_sha256,ldap_pbkdf2_sha512,ldap_plaintext,ldap_salted_md5,ldap_salted_sha1,ldap_sha1,ldap_sha1_crypt,ldap_sha256_crypt,ldap_sha512_crypt等都是ldap加密相关的兄弟函数,可谓是应有尽有非常丰富,看来在odoo端直接集成phpLDAPadmin里各种类型的加密密码更新都是易事了