<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";
        color:black;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='color:#1F497D'>Hi Mark:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>I did not find any entries related to passwords in the LDAP record. There were some entries that looked as though they were related to Kerberos which might be useful.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'> <o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>% ldapseach -LLL -x -b "uid=bigbob,cn=users,cn=accounts,dc=example,dc=com" | grep ^krb<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbPwdPolicyReference: cn=global_policy,cn=EXAMPLE.COM,cn=kerberos,dc=sw,dc=<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbPrincipalName: bigbob@EXAMPLE.COM<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbLastPwdChange: 20120530170153Z<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbPasswordExpiration: 20120828170153Z<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbExtraData:: AAgBAA==<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbExtraData:: AAKBUsZPc3Nob3J0QFNXLlRBQlVMQS5DT00A<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbLastSuccessfulAuth: 20120621180658Z<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbLastFailedAuth: 20120620013218Z<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><span style='font-family:"Courier New";color:#1F497D'>krbLoginFailedCount: 0<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Unfortunately, I am new to IPA so I don’t yet understand the internals for password management. Can you suggest any documentation I can read? I am fairly familiar with LDAP and Kerberos.<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Thanks,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Joe<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Joe Linoff <br><b>Sent:</b> Sunday, June 24, 2012 2:43 PM<br><b>To:</b> Mark Reynolds<br><b>Cc:</b> freeipa-users@redhat.com; Joe Linoff<br><b>Subject:</b> RE: [Freeipa-users] Transfer user database to FreeIPA LDAP<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span style='color:#1F497D'>Hi Mark:<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Thank you, that is really helpful. <o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Regards,<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:#1F497D'>Joe<o:p></o:p></span></p><p class=MsoNormal><span style='color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Mark Reynolds [<a href="mailto:mareynol@redhat.com">mailto:mareynol@redhat.com</a>] <br><b>Sent:</b> Sunday, June 24, 2012 12:49 PM<br><b>To:</b> Joe Linoff<br><b>Cc:</b> <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br><b>Subject:</b> Re: [Freeipa-users] Transfer user database to FreeIPA LDAP<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'>Hi Joe,<br><br>I'm not really an IPA guy, but IPA uses 389 directory server as its backend.  You would need to convert the your DB entries to LDAP entries, but 389 supports your password type, so it should not be a problem if you copy & paste the password hashes.  LDAP expects the password to be something like:<o:p></o:p></p><pre> userpassword: {SSHA}cchzM+LrPCvbZdthOC8e62d4h7a4CfoNvl6d/w==<o:p></o:p></pre><p class=MsoNormal>Mark<br><br>On 06/24/2012 02:30 PM, Joe Linoff wrote: <o:p></o:p></p><p class=MsoNormal>Hi Everybody:<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>We have a legacy web based application (CakePHP) that stores user data in a DB and I would like to transfer that information to a FreeIPA Identity Management Server without requiring the users to re-enter their passwords (if possible).<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>How would I do that?<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>I know that the DB stores the password as a SHA-1 hash with a salt. I was hoping that there was a way for the administrator to directly copy the SHA-1 password hash from the DB into the Free-IPA LDAP for the user but I don’t even know if that is a reasonable expectation.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Any help would be greatly appreciated.<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Thanks,<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal>Joe<o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal> <o:p></o:p></p><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><br><br><o:p></o:p></span></p><pre>_______________________________________________<o:p></o:p></pre><pre>Freeipa-users mailing list<o:p></o:p></pre><pre><a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><o:p></o:p></pre><pre><a href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a><o:p></o:p></pre><p class=MsoNormal style='margin-bottom:12.0pt'><span style='font-size:12.0pt;font-family:"Times New Roman","serif"'><o:p> </o:p></span></p><pre>-- <o:p></o:p></pre><pre>Mark Reynolds<o:p></o:p></pre><pre>Senior Software Engineer<o:p></o:p></pre><pre>Red Hat, Inc<o:p></o:p></pre><pre><a href="mailto:mreynolds@redhat.com">mreynolds@redhat.com</a><o:p></o:p></pre></div></body></html>