Re: DES -> MD5 (Conversão é possível?)
Rapai... é o seguinte...
Eu nunca trabalhei com autenticação RADIUS, mas com LDAP já,
como eu tenho uma certa paranoia com tudo que faço, costumo configurar o
NSSWITCH e o PAM para usarem os chamados "flat files" e consequentemente o
LDAP (caso um falhe, tem o outro).
nsswitch.conf:
passwd: files ldap
group: files ldap
shadow: files ldap
Já no PAM é um pouco mais complexo, e a ordem das linhas alteram o
resultado do produto.
Exemplo de PAM referente à auth:
auth sufficient pam_unix.so
auth sufficient pam_ldap.so try_first_pass
auth required pam_deny.so
O parâmetro "sufficient" em caso de sucesso, faz o resto das linhas serem
ignoradas, retornando imediatamente o resultado para o serviço que solicitou
a autenticação.
Neste caso se a autenticação tiver sucesso usando o módulo pam_unix
(flat files), não será tentada a autenticação via LDAP (pam_ldap) e nem irá
negar via pam_deny (colocado aí somente por motivos de segurança, caso ambos
falhem).
O parâmetro try_first_pass, faz com que o módulo do LDAP tente autenticar com
a mesma senha fornecida para o pam_unix (já que ele vem primeiro).
Essa configuração é válida e necessária para account, session e password caso
você queira informações sobre usuários e autenticação dos mesmos usando bases
de dados diferentes.
Nota importante: essas linha deverão ser postas após todas as demais linhas
nos arquivos de configuração do PAM (pois o parâmetro "sufficient" é tão
importante, e também perigoso se usado de má forma).
E é assim que eu autentico, primeiro tenta-se os "flat files" e depois LDAP,
poderá ser assim com RADIUS também.
Desculpe o BO.
[]'s
Manoel.
On Wednesday 24 March 2004 17:05, Pedro Ivo Lima wrote:
> Olá Manoel Lobo,
>
> Seguinte, nosso ambiente posui mais de 10k usuários, então a posibilidade
> de alterar as senhas manualmente é remota.
>
> Agora usando o PAM já pensamos nisso, mas como manter duas bases: uma em
> MD5 e outra no clássico DES autenticando via RADIUS?
>
> O RADIUS automaticamente saberia distinguir entre as senhas MD5 e as senhas
> DES ??
>
> E se utilizarmos shadow poderia facilitar? Porque aí separíamos as bases
> quando uma senha fosse alterada ou uma conta nova criada ela iria pro
> shadow e paulatinamente separaríamos as bases por tipo de criptografia, mas
> como poderíamos informar isso ao RADIUS??
>
> Acho que compliquei ainda mais :P, mas é isso, estamos abertos a quaisquer
> sugestões.
>
>
> []'s
>
>
> Pedro Ivo
>
>
>
> ----- Original Message -----
> From: "Manoel Lôbo" <manoel@fixway.com>
> To: <debian-user-portuguese@lists.debian.org>
> Sent: Wednesday, March 24, 2004 3:40 PM
> Subject: Re: DES -> MD5 (Conversão é possível??)
>
>
> Sei que o módulo pam_unix tem o parâmetro "MD5".
>
> Exemplo:
>
> password required pam_unix.so md5 obscure etc... bla bla bla...
>
> Isso faz com que as senha sejam gravadas em formato MD5.
>
> Será que o do RADIUS tem também ?
> Verifique a documentação do PAM.
>
> Se tiver, peça pros usuários trocaram as senhas, elas serão gravadas em
> MD5.
>
> []'s
>
> On Wednesday 24 March 2004 14:47, Pedro Ivo Lima wrote:
> > Prezados,
> >
> >
> > Precisamos de uma ajudinha. Alguém conhece ou já usou alguma ferramenta
>
> que
>
> > converta o /etc/passwd de DES p/ MD5 sem perder as senhas dos usuários??
> >
> > Já temos/conhecemos soluções que perdem a senha, mas precisamos impactar
> > muito pouco nesta operação.
> >
> > Seria algo do tipo desencripta o conteúdo em DES e depois encripta c/
> > MD5.
> >
> > Se houver alguma outra saída "bonita" c/ PAM p/ que gere um middleware
> > entre a autenticação via RADIUS e o arquivo de senhas tb é bem vindo...
> >
> > Valeus e obrigado desde já pela ajuda!
> >
> > []'s
> >
> > Pedro Ivo
Reply to: