[Obm] Backend LemonLDAP -> mot de passe en clair dans les logs

Patrick BOSSARD Patrick.Bossard at ifremer.fr
Wed Jan 12 17:07:14 CET 2011


J'ai du moi aussi passer en MD5SUM avec Lemon, mais je n'ai pas activé 
le mode DEBUG.
Par contre je me permet de reagir, car changer la valeur de 
$password_encryption ne modifie pas pour autant les valeurs des mots de 
passes enregistres dans la base obm.

Il faut pour cela passer un petit script qui va modifier les champs 
userobm_password_type et userobm_password pour tous les users qui ont 
userobm_password_type='PLAIN'. Ex.
> $query = "SELECT userobm_login, userobm_id, userobm_password FROM 
> UserObm WHERE userobm_password_type='PLAIN'";
> ....
> $queryUpdate = "update userobm set userobm_password_type='MD5SUM', 
> userobm_password='$md5password' where userobm_id=$id";
Je fais volontairement 2 requetes (1 select, et une boucle sur 
l'update)  de maniere a pouvoir tracer en fichiers de log toutes les 
modifications (user ID, ..) apportées a la base.

De la meme facon, j'ai un script en cron qui me créé mes utilisateurs en 
avance (sans attendre la 1ere connexion -et donc la creation du compte 
OBM- via lemon). Il permet de rendre invitable toute personne meme si 
celle ci n'a pas encore utilisé OBM, et donc de pousser à l'utilisation 
d'OBM.
Ce genre de script doit  positionner userobm_password_type et 
userobm_password a une chaine vide pour que lemon les mette a jour lors 
de la synchro.


Si ca peut aider.
a+
Patrick.


Le 12/01/2011 14:52, Pascal MIETLICKI a écrit :
> Bonjour à tous,
>
> Afin d'intégrer la suite OBM avec notre annuaire d'entreprise, nous 
> avons fait le choix d'utiliser lemonLDAP.
> Nous avons remarqué que, par défaut, les mots de passe étaient stockés 
> en clair dans la base. Nous avons corrigé ce problème via le 
> paramétrage (dans /etc/obm/obm_conf.inc) en y mettant "MD5SUM" :
> *"userobm_password_type"       => "MD5SUM"
> $password_encryption = "MD5SUM";*
>
> Ce stockage de mot de passe dans la base (alimentée automatiquement 
> via le connecteur) est nécessaire notamment pour la synchronisation 
> des clients d'agenda (lightning pour thunderbird) et des PDA.
>
> Cependant, nous avons remarqué que les mots de passe s'affiche 
> toujours en clair dans les fichiers de log lorsque debug_level est à 
> "DEBUG" ce qui est le cas par défaut (toujours dans 
> /etc/obm/obm_conf.inc). On voit donc les mots de passe des 
> utilisateurs se connectant en clair dans /var/log/apache2/error.log.
>
> Ces mots de passe s'affichent en clair pour la simple et bonne raison 
> que le mode debug affiche tous les entêtes HTTP configurés via le 
> manager de lemonLDAP. Il n'y a donc aucune distinction native entre un 
> entête non "sensible" tel que l'UID ou l'entête de mot de passe.
>
> Nous avons, bien entendu, modifié ce paramétrage dans notre fichier de 
> conf. Mais cela représente pour nous un point critique, nous ne 
> voulons en effet absolument pas qu'un administrateur de notre système 
> ait la possibilité de découvrir les mots de passe de nos utilisateurs 
> en changeant ce paramétrage.
>
> Avez-vous déjà été confronté à ce problème et avez-vous trouvé une 
> solution?
>
> La seule solution que nous envisageons est de modifier les fichiers 
> sources du connecteur afin de verrouiller ce paramètre en empêchant ce 
> mode debug. Mais nous aimerions que cette modification soit pérenne. 
> Croyez-vous que nous devrions ouvrir un bug chez obm?
>
> En vous remerciant par avance pour toute l'aide et informations que 
> vous pourrez nous apporter.
>
> Cordialement,
> -- 
> Pascal MIETLICKI
>
>
> _______________________________________________
> Obm mailing list
> Obm at list.obm.org
> http://list.obm.org/mailman/listinfo/obm
>    

-- 
Patrick BOSSARD - DOP/DCB/IDM/RIC
IFREMER centre de Brest
BP 70 29280 Plouzane FRANCE
Tel  : 02 98 22 44 09 - Fax: 02 98 22 45 46
Email: Patrick.Bossard at ifremer.fr

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://list.obm.org/pipermail/obm/attachments/20110112/2f14e0ee/attachment.htm 


More information about the Obm mailing list