<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<div>
<div>Thanks for the explanation, Quanah. Much appreciated!</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div id="x_composer_signature">
<p class="x_MsoNormal"><span style="font-size:12.001pt">--<br>
</span></p>
<p class="x_MsoAutoSig"><b style=""><span style="font-size:14.001pt">Robert G. Werner</span></b></p>
<p class="x_MsoAutoSig"><span style="font-size:14.001pt">Systems Admnistrator</span></p>
<p class="x_MsoAutoSig"><span style="font-size:14.001pt">University of California Merced,<span style=""> 
</span>Office of Information Techonology</span></p>
<p class="x_MsoNormal"><span style="font-size:14.001pt; font-family:Calibri,sans-serif"><a href="mailto:rwerner2@ucmerced.edu" id="LPNoLP" style="font-size:14.001pt">rwerner2@ucmerced.edu</a> |
<a href="https://it.ucmerced.edu/" id="LPNoLP" target="_BLANK" style="font-size:14.001pt">
it.ucmerced.edu</a> | <a href="tel:209.201.4386" style="font-size:14.001pt">209.201.43</a>68</span></p>
</div>
<div><br>
</div>
<div><br>
</div>
<div>-------- Original message --------</div>
<div>From: Quanah Gibson-Mount <quanah@symas.com> </div>
<div>Date: 6/5/18 5:34 PM (GMT-08:00) </div>
<div>To: Robert Werner <rwerner2@ucmerced.edu>, Dan White <dwhite@olp.net> </div>
<div>Cc: cyrus-sasl@lists.andrew.cmu.edu </div>
<div>Subject: Re: Problem using saslauthd against ldap server ... </div>
<div><br>
</div>
</div>
<font size="2"><span style="font-size:11pt;">
<div class="PlainText">--On Tuesday, June 05, 2018 11:45 PM +0000 Robert Werner <br>
<rwerner2@ucmerced.edu> wrote:<br>
<br>
> We are using the "userPassword" attribute,  and the password is<br>
> encrypted.  I"m not sure what the algo is.  But the the thing is that<br>
> with Auth Plain and Auth Login the password is being send in clear.<br>
<br>
The userPassword attribute, by RFC, is base64 encoded (not encrypted).  The <br>
reason you see "userPassword:: <value>" from an ldapsearch result (vs <br>
"userPassword: <value>") indicates that encoding is in place.  You can <br>
trivially decode the value.  In addition, OpenLDAP by default stores a hash <br>
of the password, not the password itself.<br>
<br>
If you decode the value, you should get something like:<br>
<br>
{SSHA}m80vEZ5rVevDAMoamCO1qKwIV/AEow8D<br>
<br>
which indicates that the password hash is using SSHA.<br>
<br>
The real issue, based on what you're describing, is that the password being <br>
sent to the ldap server to validate against the hash has been truncated for <br>
some reason.<br>
<br>
You can confirm that basic authentication against your ldap server is <br>
working via the "ldapwhoami" binary to rule out any issue on the LDAP <br>
server side.<br>
<br>
--Quanah<br>
<br>
--<br>
<br>
Quanah Gibson-Mount<br>
Product Architect<br>
Symas Corporation<br>
Packaged, certified, and supported LDAP solutions powered by OpenLDAP:<br>
<<a href="http://www.symas.com">http://www.symas.com</a>><br>
<br>
</div>
</span></font>
</body>
</html>