J'ai du moi aussi passer en MD5SUM avec Lemon, mais je n'ai pas activé
le mode DEBUG.
Par contre je me permet de reagir, car changer la valeur de
$password_encryption ne modifie pas pour autant les valeurs des mots de
passes enregistres dans la base obm.
Il faut pour cela passer un petit script qui va modifier les champs
userobm_password_type et userobm_password pour tous les users qui ont
userobm_password_type='PLAIN'. Ex.
$query = "SELECT userobm_login, userobm_id, userobm_password FROM
UserObm WHERE userobm_password_type='PLAIN'";
....
$queryUpdate = "update userobm set userobm_password_type='MD5SUM',
userobm_password='$md5password' where userobm_id=$id";
Je fais volontairement 2 requetes (1 select, et une boucle sur
l'update) de maniere a pouvoir tracer en fichiers de log toutes les
modifications (user ID, ..) apportées a la base.
De la meme facon, j'ai un script en cron qui me créé mes utilisateurs en
avance (sans attendre la 1ere connexion -et donc la creation du compte
OBM- via lemon). Il permet de rendre invitable toute personne meme si
celle ci n'a pas encore utilisé OBM, et donc de pousser à l'utilisation
d'OBM.
Ce genre de script doit positionner userobm_password_type et
userobm_password a une chaine vide pour que lemon les mette a jour lors
de la synchro.
Si ca peut aider.
a+
Patrick.
Le 12/01/2011 14:52, Pascal MIETLICKI a écrit :
Bonjour à tous,
Afin d'intégrer la suite OBM avec notre annuaire d'entreprise, nous
avons fait le choix d'utiliser lemonLDAP.
Nous avons remarqué que, par défaut, les mots de passe étaient stockés
en clair dans la base. Nous avons corrigé ce problème via le
paramétrage (dans /etc/obm/obm_conf.inc) en y mettant "MD5SUM" :
*"userobm_password_type" => "MD5SUM"
$password_encryption = "MD5SUM";*
Ce stockage de mot de passe dans la base (alimentée automatiquement
via le connecteur) est nécessaire notamment pour la synchronisation
des clients d'agenda (lightning pour thunderbird) et des PDA.
Cependant, nous avons remarqué que les mots de passe s'affiche
toujours en clair dans les fichiers de log lorsque debug_level est à
"DEBUG" ce qui est le cas par défaut (toujours dans
/etc/obm/obm_conf.inc). On voit donc les mots de passe des
utilisateurs se connectant en clair dans /var/log/apache2/error.log.
Ces mots de passe s'affichent en clair pour la simple et bonne raison
que le mode debug affiche tous les entêtes HTTP configurés via le
manager de lemonLDAP. Il n'y a donc aucune distinction native entre un
entête non "sensible" tel que l'UID ou l'entête de mot de passe.
Nous avons, bien entendu, modifié ce paramétrage dans notre fichier de
conf. Mais cela représente pour nous un point critique, nous ne
voulons en effet absolument pas qu'un administrateur de notre système
ait la possibilité de découvrir les mots de passe de nos utilisateurs
en changeant ce paramétrage.
Avez-vous déjà été confronté à ce problème et avez-vous trouvé une
solution?
La seule solution que nous envisageons est de modifier les fichiers
sources du connecteur afin de verrouiller ce paramètre en empêchant ce
mode debug. Mais nous aimerions que cette modification soit pérenne.
Croyez-vous que nous devrions ouvrir un bug chez obm?
En vous remerciant par avance pour toute l'aide et informations que
vous pourrez nous apporter.
Cordialement,
--
Pascal MIETLICKI
_______________________________________________
Obm mailing list
[email protected]
http://list.obm.org/mailman/listinfo/obm
--
Patrick BOSSARD - DOP/DCB/IDM/RIC
IFREMER centre de Brest
BP 70 29280 Plouzane FRANCE
Tel : 02 98 22 44 09 - Fax: 02 98 22 45 46
Email: [email protected]
_______________________________________________
Obm mailing list
[email protected]
http://list.obm.org/mailman/listinfo/obm
