Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] format mot de passe dans Sympa

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Re: [sympa-fr] format mot de passe dans Sympa

Chronologique Discussions  
    < Chronologique >       < Discussions >
  • From: David Verdin <adresse@cachée>
  • To: adresse@cachée
  • Subject: Re: [sympa-fr] format mot de passe dans Sympa
  • Date: Thu, 12 Feb 2015 15:53:16 +0100

Le 12/02/15 15:46, Guillaume Laurès a écrit :
Bonjour,

Je suis en train d'auditer un serveur Sympa. L'authentification est censée être réalisée via LDAP, et je trouve effectivement une configuration valable dans /home/sympa/etc/auth.conf.

Par contre, je faisais une vérification (comme ça!)sur la user_table en SQL et je tombe sur la chose suivante :
mysql> select count(*) from user_table where password_user like "crypt.%";
+----------+
| count(*) |
+----------+
|     8898 |
+----------+
(au milieu des md5, des "init...")
Exemple d'un tel mot de passe : crypt.Ap59qUtMg9terwsbHaEHIv66L0TAxA==

Or d'après le document suivant https://archives.jres.org/_media/tuto/tuto12/70-dv-sympa_securite.pdf, je ne constate pas de période pendant laquelle Sympa aurait utilisé un crypt() pour stocker le mot de passe... une idée sur d'où cela peut venir ?

C'est la deuxième ligne du tableau de la diapo 7 du document : je n'avais pas précisé le formalisme, mais les mots de passe "crypt..." étaient les mots de passe réversibles.
Lors d'une migration, il faut donc exécuter la commande de sympa.pl qui réencode ces mots de passe sous forme de hash MD5.

Voilou !

David
Merci de vos éclairages !

Cordialement - best Regards
Guillaume Laurès

Yaziba, la solution Collaborative hébergée / http://www.yaziba.net
Netixia, nos dernières références / http://www.netixia.fr/references

Chef de Projet NETIXIA
Email : adresse@cachée
Fixe : 02 47 64 64 64 - poste 506

----------------------------------------------
Note de confidentialité : Les informations contenues dans ce document peuvent présenter un caractère confidentiel et sont couvertes par le secret professionnel.
Leur utilisation par toute autre personne que le destinataire est strictement interdite. En cas d'erreur, merci de nous prévenir immédiatement par téléphone au 02 47 05 78 50.
Confidentiality note : This message and any supporting information is confidential and privileged. If you are not the intended recipient, please be notified that disclosing or making use of the contents without permission is prohibited. If you receive this message erroneously please contact us immediately with the following telephone number +33 2 47 05 78 50.


--
A bug in Sympa? Quick! To the bug tracker!

 
David Verdin
Études et projets applicatifs
 
Tél : +33 2 23 23 69 71
Fax : +33 2 23 23 71 21
 
www.renater.fr
 		RENATER
263 Avenue du Gal Leclerc
35042 Rennes Cedex


PNG image

Attachment: smime.p7s
Description: Signature cryptographique S/MIME


Archives gérées par MHonArc 2.6.19+.

Haut de le page