Sychroniser mot de passe de deux annuaires LDAP

zen · September 7, 2020, 7:33am

Mon serveur YunoHost

Matériel: VM
Version de YunoHost: 3.8.4.9 (stable).
J’ai accès à mon serveur : En SSH
Êtes-vous dans un contexte particulier ou avez-vous effectué des modificiations particulières sur votre instance ? : non
Si oui, expliquer:

Bonjour,

J’avais posé une question début juillet sur la possibilité de synchroniser deux annuaire LDAP

En résumé, j’ai un annuaire LDAP de mon assos, et je voulais synchroniser le LDAP Yunohost avec cet LDAP.
J’ai beau cherché, mais je n’ai pas trouver de solution simple à mettre en œuvre.

Je me suis dis alors, au lieu de synchroniser les comptes, il faudrait injecter le mot de passe des comptes de l’annuaire LDAP de mon assos, à l’annuaire yunohost

Le problème c’est que les deux mot de passe n’ont pas le même hashage

Les mot de passe de l’annuaire assos sont en sha1, exemple*
e1NTSEF9RllibnrzURhPSm15dXGMWnc5ciI5Uz9hSFZYK3dzeHA=

Je ne sais pas quel type de hashage est utiliser pour yuno, il me semble que c’est sur sha256. exemple*
e0NSWVBUfSQ2JERcfG67yU9kaG8zYWR5SEMkV2FRd2TFcsRf56g7ejIxMlRQWXZkOS5CVmVEY3ERD2s4gZ6gd29HdGw1dlRyOEowVmh5V2kyZUJmck5VTTBENzBHQW5tWHNNOWVXSi54ckhxaVlBai4=

Q1: Je voudrais avoir la confirmation du type de hashage de mdp Yunohost.
Q2 : comment convertir mes mots de passe de l’annuaire assos en mdp yunohsor

Merci pour votre aide

hashage modifié

zen · September 10, 2020, 8:14am

Up

Aleks · September 10, 2020, 11:16am

Oui c’est bien sha256

C’est clairement pas simple voir “pas possible” … Quand tu as un hash de mot de passe, tu n’as pas le mot de passe en tant que tel. Tu as un juste un moyen de revérifier plus tard qu’un mot de passe donné est le mot de passe correspondant au hash …

Convertir un type de hash dans un autre type de hash, ce n’est juste pas possible …

Par contre ce qu’il est possible de faire, c’est de change ta DB qui utilise du sha1 pour utiliser du sha256 … mais ça demande que les utilisateurs existants redonnent leur mot de passe à un moment où un autre.

Aleks · September 10, 2020, 12:34pm

(Ou comme me le suggère @ljf irl … peut-être qu’injecter les sha1 dans la base de Yunohost fonctionne aussi … Par contre il faut aussi être conscient que les utilisateurices peuvent modifier leur mot de passe yunohost depuis le SSO, donc suivant à quel point tu veux synchroniser, il faut peut-être synchroniser dans les deux sens)

ljf · September 10, 2020, 12:44pm

Comme on peut le voir sur cette ligne https://github.com/YunoHost/SSOwat/blob/dev/helpers.lua#L1012

Et celle-ci https://github.com/YunoHost/yunohost/blob/d1d24cb6eb696e2f3478527e7a0be53baa9503fa/src/yunohost/user.py#L856

C’est en fait un sha512 salé.

Mais comme dit @Aleks c’est peut être possible de mettre d’autre format de hash au format crypt sha-1 (ou même sha-1 puisque ldap supporte ça d’origine). Il ne me semble pas qu’il y ai une option qui l’interdise dans notre configuration ldap.

system · September 25, 2020, 12:44pm

This topic was automatically closed 15 days after the last reply. New replies are no longer allowed.