Indique le nom de la zone LDAP qui contient les données d'identification hachées.
Si une valeur est spécifiée pour ce paramètre, il se substitue au paramètre
pws_atr_name.
Les serveurs LDAP prennent automatiquement en charge le mot de passe. Si le serveur LDAP n'est pas configuré pour exploiter les valeurs hachées, le serveur LDAP stocke les mots de passe utilisateur, puis le composant traitant la demande les utilise pour la valider. Cette méthode d'authentification exposant les mots de passe utilisateur
à un risque d'usurpation sur Internet, il est préférable d'autoriser l'utilisation de justificatifs hachés
pour authentifier une demande.
Avec les justificatifs hachés,
le serveur LDAP enregistre une valeur de hachage pour les informations sur l'utilisateur, le mot de passe et le domaine. Le conteneur SIP demande alors cette valeur de hachage au serveur LDAP au lieu du mot de passe de l'utilisateur. Cette méthode protège les mots de passe même si les données de hachage sont mises en danger par un vol sur Internet. Elle présente toutefois les limitations
suivantes :
- L'attribut LDAP doit stocker une valeur d'octet ou une valeur de chaîne. Les autres types d'attributs
ne sont pas pris en charge.
- Toutes vos applications doivent partager le même domaine ; sinon, vous devez définir
un attribut différent pour chaque domaine.
- La fonction de hachage peut être autre que MD5. Dans ce cas, le
conteneur SIP envoie un algorithme différent de la valeur calculée
pour l'attribut. Cela peut entraîner un échec d'authentification de l'utilisateur,
même si ce dernier fournit les justificatifs appropriés.
Pour que le serveur LDAP utilise des données d'identification
hachées, vous devez définir les deux paramètres suivants :
- Hashedcredentials=valeur, où "valeur" est le nom de l'attribut
LDAP qui contient la valeur hachée pour l'utilisateur, le mot de
passe et le domaine.
- Hashedrealm=valeur, où "valeur" désigne le domaine sur lequel la
valeur hachée est calculée.
Type de données |
Chaîne |
Valeur par défaut |
Chaîne vide |