使用影子中的鹽漬雜湊的身份驗證過程如何工作

登錄期間提供的密碼是否會轉換為加鹽雜湊，然後與 /etc/shadow 中的密碼進行比較？/如果使用者在 LDAP 但不在影子文件中怎麼辦？它會使用kerberos嗎？

對於鹽，想法很簡單：

例如，3DES 有 11 個字元的散列密碼加上 2 個字元的鹽。可以說結果是：SSHHHHHHHHHHH。這就是儲存在影子文件中的內容。即鹽和雜湊。

一旦我輸入我的密碼，庫就會獲取影子條目，提取鹽（前兩個字元），將鹽與我未加密的密碼（我剛剛輸入的那個）結合起來，並生成一個新的雜湊值。如果新雜湊值與影子文件中的雜湊值相同，則意味著我的密碼與原始密碼匹配。

在所有加鹽雜湊的情況下，這個想法都是相同的。影子文件中的格式發生了一些變化，以便更容易區分不同的雜湊算法，但最終儲存的只是：（可選）標識雜湊函式、鹽和雜湊的 id。然後使用任何輸入的密碼，系統生成一個新的雜湊（通過將雜湊函式應用於 salt+密碼）並將其與儲存的密碼進行比較。

對於 LDAP，我相信這是一樣的。即係統從LDAP 中獲取條目並執行相同的功能集。

引用自：https://unix.stackexchange.com/questions/127878