如何指定口令加密算法

在此过程中，BSD-Linux 版本的 MD5 算法是用户更改其口令时使用的缺省加密算法。此算法适合由运行 Solaris、BSD 和 Linux 版本的 UNIX 的计算机构成的混合网络。有关口令加密算法和算法标识符的列表，请参见表 2–1。

1. 承担主管理员角色，或成为超级用户。

   主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

2. 指定所选加密算法的标识符。

   键入标识符作为 /etc/security/policy.conf 文件中的 CRYPT_DEFAULT 变量的值。

   可能需要在文件中添加注释以对选择进行说明。

   # cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5 # # Use the version of MD5 that works with Linux and BSD systems. # Passwords previously encrypted with __unix__ will be encrypted with MD5 # when users change their passwords. # # CRYPT_DEFAULT=__unix__ CRYPT_DEFAULT=1

   在此示例中，算法配置可确保不会使用功能最弱的算法 crypt_unix 加密口令。使用 crypt_unix 模块加密口令的用户将在更改其口令时获得使用 crypt_bsdmd5 加密的口令。

   有关配置算法选择的更多信息，请参见 policy.conf(4) 手册页。

示例 3–6 使用 Blowfish 算法加密口令

在此示例中，Blowfish 算法的标识符 2a 被指定为 policy.conf 文件中的 CRYPT_DEFAULT 变量的值：

CRYPT_ALGORITHMS_ALLOW=1,2a,md5

#CRYPT_ALGORITHMS_DEPRECATE=__unix__

CRYPT_DEFAULT=2a

此配置与使用 Blowfish 算法的 BSD 系统兼容。