Bonjour à tous,Afin d'intégrer la suite OBM avec notre annuaire d'entreprise, nous avons fait le choix d'utiliser lemonLDAP. Nous avons remarqué que, par défaut, les mots de passe étaient stockés en clair dans la base. Nous avons corrigé ce problème via le paramétrage (dans /etc/obm/obm_conf.inc) en y mettant "MD5SUM" :
*"userobm_password_type" => "MD5SUM" $password_encryption = "MD5SUM";*
Ce stockage de mot de passe dans la base (alimentée automatiquement via le connecteur) est nécessaire notamment pour la synchronisation des clients d'agenda (lightning pour thunderbird) et des PDA.
Cependant, nous avons remarqué que les mots de passe s'affiche toujours en clair dans les fichiers de log lorsque debug_level est à "DEBUG" ce qui est le cas par défaut (toujours dans /etc/obm/obm_conf.inc). On voit donc les mots de passe des utilisateurs se connectant en clair dans /var/log/apache2/error.log.
Ces mots de passe s'affichent en clair pour la simple et bonne raison que le mode debug affiche tous les entêtes HTTP configurés via le manager de lemonLDAP. Il n'y a donc aucune distinction native entre un entête non "sensible" tel que l'UID ou l'entête de mot de passe.
Nous avons, bien entendu, modifié ce paramétrage dans notre fichier de conf. Mais cela représente pour nous un point critique, nous ne voulons en effet absolument pas qu'un administrateur de notre système ait la possibilité de découvrir les mots de passe de nos utilisateurs en changeant ce paramétrage.
Avez-vous déjà été confronté à ce problème et avez-vous trouvé une solution?La seule solution que nous envisageons est de modifier les fichiers sources du connecteur afin de verrouiller ce paramètre en empêchant ce mode debug. Mais nous aimerions que cette modification soit pérenne. Croyez-vous que nous devrions ouvrir un bug chez obm?
En vous remerciant par avance pour toute l'aide et informations que vous pourrez nous apporter.
Cordialement, -- Pascal MIETLICKI
<<attachment: pascal_mietlicki.vcf>>
_______________________________________________ Obm mailing list [email protected] http://list.obm.org/mailman/listinfo/obm
