Passwort-Hash-Algorithmus nur Crypt!?

german

#1

Hey,

UCS 2.3 & 2.4

schaut man sich das “userPassword”-Attribut eines Benutzers an, so sieht man fröhlich, dass es mit crypt gehasht wird. Wie ja wohl allgemein bekannt ist, ist das sicherheitstechnisch anachronistisch, weil stark längenbeschränkt und alles andere als knacksicher. Also mal nachgeforscht.

/etc/pam_ldap.conf enthält “pam_password crypt”. Die dazugehörige Vorlage /etc/univention/templates/files/etc/pam_ldap.conf hat dies hardgecodet, also nicht über eine Variable einstellbar.

/etc/pam.d/common-password enthält zwar die Option “md5”, aber nur für pam_unix.so, nicht aber für pam_ldap.so.

Praxistest: 1. Passwort via “passwd” geändert. Resultat: crypt. 2. Passwort via directory administrator geändert. Resultat: crypt.

  1. Warum ist das so?

  2. Wird das in UCS 3 endlich geändert?

  3. Falls nicht, warum nicht!?!?

Ja, unseren Benutzern fällt auf, dass sie nicht ihre volle Passwortlänge angeben müssen. Nein, das sind nicht nur theoretische Probleme.


#2

Danke für den Hinweis. Ja, das Thema soll in UCS 3.0 verbessert werden. Ich habe dazu jetzt auch noch explizit einen Bug angelegt: [bug]23763[/bug].

Wenn einem das aktuell zu unsicher ist, dann kann ldap aus der PAM-Konfiguration entfernt werden.

Viele Grüße
Stefan Gohmann