md5 shadow synchroniseren

Pagina: 1
Acties:

  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025
Dag mensen,

Ik ben bezig een drietal php programma's met elkaar te laten synchroniseren. (username ww). Nu is het zo dat deze allemaal volgens mij een md5 doen van het wachtwoord wat woord opgegeven (want bij alle drie de systemen is de hash hetzelfde).

Maar nu vroeg ik me af of ik dit ook kon synchroniseren met de bestaande gebruikers van een linux systeem /etc/shadow.

Deze hashes zien er ook heel anders uit. Ik heb aardig wat google statements etc.. er tegen aan gegooid :) Maar kan iemand misschien uitleggen of dit uberhaupt mogelijk is?

Alvast bedankt

Elke dag dronken is ook een geregeld leven.


  • Wilke
  • Registratie: December 2000
  • Laatst online: 18:45
'man 3 crypt' kon wel eens een goed beginpunt zijn, maar of je er daarmee komt vraag ik me af.

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Het probleem waar je bij password-synchronisatie altijd tegenaan zult lopen is dat je een proces moet hebben dat toegang heeft tot de shadow file; die erg kraakgevoelig is.

Je zou even hier naar kunnen kijken: PHP4 Pam Authentication

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Verwijderd

Je zou via LDAP kunnen synchroniseren.. althans, de WW's van linux users gelijk maken aan de in de PHP applicaties..

  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025
Spider.007 schreef op 08 juli 2004 @ 20:14:
Het probleem waar je bij password-synchronisatie altijd tegenaan zult lopen is dat je een proces moet hebben dat toegang heeft tot de shadow file; die erg kraakgevoelig is.

Je zou even hier naar kunnen kijken: PHP4 Pam Authentication
Nouja dat is niet zo'n probleem ik was toch al van plan om dit via een script te doen in een cron met root rechten. (1x per dag)

En het is een debian systeem volgens mij zit dat vol gestopt met PAM :)

Maar met PAM moet het dus mogelijk zijn om te controleren of de hash van /etc/shadow gelijk is aan die van de md5 van de php applicaties?

Of is het echt zo dat wanneer ik alleen een /etc/shadow hash heb dat ik daar een md5 hash van kan maken voor mijn php applicaties? (wat ik eigenlijk wil)

Elke dag dronken is ook een geregeld leven.


Verwijderd

Justin_Time schreef op 08 juli 2004 @ 20:20:
Of is het echt zo dat wanneer ik alleen een /etc/shadow hash heb dat ik daar een md5 hash van kan maken voor mijn php applicaties? (wat ik eigenlijk wil)
waarom voor die apps nog een aparte hash gebruiken, waarom niet rechstreeks authenticeren tegen de linux userbase?

  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025
Omdat dat standaard php applicaties zijn (mydms, dotproject, mambo) die het niet ondersteunen om te authentiseren via pam/etc/shadow

Elke dag dronken is ook een geregeld leven.


  • tweakerbee
  • Registratie: Maart 2000
  • Laatst online: 18-02 22:54

tweakerbee

dus..?

Als het opensource is kun je er toch zelf in gaan klussen :P

You can't have everything. Where would you put it?


  • Justin_Time
  • Registratie: Juni 2001
  • Laatst online: 17-07-2025
tweakerbee schreef op 08 juli 2004 @ 20:47:
Als het opensource is kun je er toch zelf in gaan klussen :P
Nee ik wil niet zelf gaan kussen want het moet ook beheerbaar blijven. Ik wil niet voor iedere update die er aanhet pakket is weer allemaal trukendozen uithalen.

Elke dag dronken is ook een geregeld leven.


  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Justin_Time schreef op 08 juli 2004 @ 20:20:
[...]

Nouja dat is niet zo'n probleem ik was toch al van plan om dit via een script te doen in een cron met root rechten. (1x per dag)
Tjah.. de vraag is of dat echt verstandig is.. verder is een updatefrequentie van 1 keer per dag wellicht ook iniet bruikbaar
En het is een debian systeem volgens mij zit dat vol gestopt met PAM :)

Maar met PAM moet het dus mogelijk zijn om te controleren of de hash van /etc/shadow gelijk is aan die van de md5 van de php applicaties?
Als je de link volgt, of wat zoekt op Google zul je zien wat je met PAM kunt
PAM = Pluggable Authentication Modules

Basically, it is a flexible mechanism for authenticating users.

Since the beginnings of UNIX, authenticating a user has been accomplished via the user entering a password and the system checking if the entered password corresponds to the encrypted official password that is stored in /etc/passwd . The idea being that the user *is* really that user if and only if they can correctly enter their secret password.

That was in the beginning. Since then, a number of new ways of authenticating users have become popular. Including more complicated replacements for the /etc/passwd file, and hardware devices Smart cards etc..

The problem is that each time a new authentication scheme is developed, it requires all the necessary programs (login, ftpd etc...) to be rewritten to support it.

PAM provides a way to develop programs that are independent of authentication scheme. These programs need "authentication modules" to be attatched to them at run-time in order to work. Which authentication module is to be attatched is dependent upon the local system setup and is at the discretion of the local system administrator.
Of is het echt zo dat wanneer ik alleen een /etc/shadow hash heb dat ik daar een md5 hash van kan maken voor mijn php applicaties? (wat ik eigenlijk wil)
Hashes van Hashes lijkt me sowieso niet verstandig; en volgens mij kun je alles wat je wilt met PAM doen. Dat is ook nog eens de 'nette' manier en zal dus het beste te onderhouden zijn :)

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


  • _JGC_
  • Registratie: Juli 2000
  • Nu online
Denk dat je meer kans maakt met LDAP authenticatie. Linux kan perfect tegen LDAP authenticatie doen, LDAP zelf kan dat ook. Je hoeft in principe alleen een LDAP bind te doen met iemand zn dn en iemand zn password en dan weet je meteen of het password goed was. Die dn kan je met een anonymous bind wel opzoeken.

Ik gebruik hier ook LDAP:
- postfix haalt zn usernames en aliassen eruit
- saslauthd doet authenticatie met binding op LDAP
- postfix doet SMTP authenticatie tegen saslauthd
- cyrus imap doet IMAP/POP authenticatie tegen saslauthd
- mn andere terminal server doet met pam_ldap/nss_ldap authenticatie tegen LDAP
- Samba doet authenticatie tegen LDAP

Heb bij een bedrijf ook soortgelijks lopen, heb destijds gewoon groupware pakketjes als phpgroupware, moregroupware en opengroupware.org aan LDAP gehangen, gaat gewoon prima allemaal. Helaas is het met die pakketjes nooit verdergekomen dan een testfase.
Pagina: 1