[OpenSuse 11.1] comment fonctionne pam?

wodel · 19/01/2009, 22h12

Salut,

j'essaye de configurer open-xchange v6.

il utilise mysql pour l'authentifiction, en passant par pam-mysql.

ma question est la suivante, lorsque open-xchange crée un utilisateur, il utilise SHA (par defaut pour le cryptage du mot de passe), cette valeur peut etre changée pour la valeur crypt. comment pam determine t il l'algorithme du cryptage utilisé? en d'autres termes, au debut j'ai créé les utilisateurs avec un cryptage SHA pour les mots de passe, cela dit lors de l'authentification au prés de cyrus-imap (qui utilise pam-mysql) j'avait des erreurs d'authentification. j'ai changé pour crypt, et la tout marche bien.

ce que je veux savoir, dans une ligne comme celle ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

auth       optional     pam_mysql.so host=/var/run/mysqld/mysqld.sock user=openexchange passwd=secret db=open-xchange-db [table=login2user LEFT JOIN user ON login2user.id=user.id AND login2user.cid=user.cid] [where=user.cid=1] usercolumn=login2user.uid passwdcolumn=user.userPassword crypt=1

tirée du fichier /pam.d/imap, qu elle est la signification de "crypt"? comment pam peut il savoir quel algorithme d'authentification a été utilisé??

bastien56 · 21/01/2009, 10h49

Hello

"tirée du fichier /pam.d/imap, qu elle est la signification de "crypt"? comment pam peut il savoir quel algorithme d'authentification a été utilisé??"

CRYPT est une fonction utilisé dans MYSQL, PAM ne le sais pas ... il faut le lui préciser dans /etc/pam.d/[service]

Citation:

0 (or "plain") = No encryption. Passwords stored in plaintext. HIGHLY DISCOURAGED.
1 (or "Y") = Use crypt(3) function.
2 (or "mysql") = Use MySQL PASSWORD() function. It is possible that the encryption function used by PAM-MySQL is different from that of the MySQL server, as PAM-MySQL uses the function defined in MySQL's C-client API instead of using PASSWORD() SQL function in the query.
3 (or "md5") = Use plain hex MD5.
4 (or "sha1") = Use plain hex SHA1.

Donc ici ton 1 correspond à la fonction CRYPT.

Ici je galère avec OOX .... ou en es tu ?

J'ai également modifié la fonctionne de hachage du mdp dans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
/opt/open-xchange/etc/admindaemon/User.properties
# specify the default password mechanism to use
# possible values: CRYPT / SHA
DEFAULT_PASSWORD_MECHANISM=CRYPT

Bastien

wodel · 21/01/2009, 20h00

Salut,
et merci pour la réponse, c'est ce que j'avais deviné au début, que la valeur de crypt dans /etc/pam.d/[service] détermine le cryptage utilisé, cela dit j'ai essayé les chiffres de 1 à 9 pour SHA mais ça n'a rien donné, à moins qu'il y ai plusieurs version de SHA, vu que tu as écris SHA1.

concerant OX6, je l'ai installé sur RHEL5 et sur l'openSuse 11.1, ie une version commerciale et une autre communautaire, en ce qui concerne le groupware j'ai suivit le quick-install sur le site de l'éditeur, pour le mail je me suis inspiré de ces deux liens:

anglais

hollandais

bien que c'est pratiquement le meme manuel, y a de petites différences, et il reste un truc que j'ai pas encore compris, c'est l'utilisation de libnss-mysql, car je l'ai désactivé et tout marche bien, et je ne connais pas un moyen de tester le fonctionnement de libnss-mysql.

une dernière chose, lors de la création d'un utilisateur ox il ne faut pas oublier d'ajouter --imaplogin le_login_user à la commande createuser,

bastien56 · 22/01/2009, 10h32

Hello,

Ici ca marche sur centos5.2 64bit avec un OOX en version 6.6 pro...

mais franchement c'est une vrai galère à mettre en place tant sur la
partie setup que la partie conf (cyrus/pam/postfix/mysql)...

Sinon pour l'interface d'administration je me suis lancé dans la refonte
de http://www.open-xchange.com/forum/showthread.php?t=2956

Pour l'instant j'ai ajouté un formulaire d'authentification et retouché qques
bugs ... ca permet d'étiter des users en interface web bien plus pratique
que l'interface web.

Sinon j'ai également codé un script php de syncro :

-> [lecture de l'AD via php/ldap]
-> [lecture de l'OOX via PHP5/ webservice SOAP]
-> [Puis création du user si il n'est pas dans la base MYSQL via SOAP]

Seul hic le mot de passe (ici j'en génère un automatiquement)

Si tu as le meme genre de problematique (OOX/AD) et si tu as une idée je suis preneur

Donc sinon pour la création des users je vois la ligne de cmd avec l'option imap-login mais ... l'utilisation de SOAP est plus pratique

Bon courage,
@+ Bastien

19/01/2009, 22h12	#1
wodel Membre du Club Inscription : avril 2005 Messages : 264 Détails du profil Informations personnelles : Sexe : Âge : 30 Informations forums : Inscription : avril 2005 Messages : 264 Points : 54 Points : 54	[OpenSuse 11.1] comment fonctionne pam? Salut, j'essaye de configurer open-xchange v6. il utilise mysql pour l'authentifiction, en passant par pam-mysql. ma question est la suivante, lorsque open-xchange crée un utilisateur, il utilise SHA (par defaut pour le cryptage du mot de passe), cette valeur peut etre changée pour la valeur crypt. comment pam determine t il l'algorithme du cryptage utilisé? en d'autres termes, au debut j'ai créé les utilisateurs avec un cryptage SHA pour les mots de passe, cela dit lors de l'authentification au prés de cyrus-imap (qui utilise pam-mysql) j'avait des erreurs d'authentification. j'ai changé pour crypt, et la tout marche bien. ce que je veux savoir, dans une ligne comme celle ci: Code : Sélectionner tout - Visualiser dans une fenêtre à part auth optional pam_mysql.so host=/var/run/mysqld/mysqld.sock user=openexchange passwd=secret db=open-xchange-db [table=login2user LEFT JOIN user ON login2user.id=user.id AND login2user.cid=user.cid] [where=user.cid=1] usercolumn=login2user.uid passwdcolumn=user.userPassword crypt=1 tirée du fichier /pam.d/imap, qu elle est la signification de "crypt"? comment pam peut il savoir quel algorithme d'authentification a été utilisé?? __________________ Simbad le Marin Core 2 Duo E8400 / 4Go RAM / HD6850 / HDD 250Go OpenSuse 12.1 Dernière modification par CedrX ; 21/01/2009 à 12h02. Motif: Ajout de balises CODE pour plus de lisibilité
	00

21/01/2009, 20h00	#3
wodel Membre du Club Inscription : avril 2005 Messages : 264 Détails du profil Informations personnelles : Sexe : Âge : 30 Informations forums : Inscription : avril 2005 Messages : 264 Points : 54 Points : 54	Salut, et merci pour la réponse, c'est ce que j'avais deviné au début, que la valeur de crypt dans /etc/pam.d/[service] détermine le cryptage utilisé, cela dit j'ai essayé les chiffres de 1 à 9 pour SHA mais ça n'a rien donné, à moins qu'il y ai plusieurs version de SHA, vu que tu as écris SHA1. concerant OX6, je l'ai installé sur RHEL5 et sur l'openSuse 11.1, ie une version commerciale et une autre communautaire, en ce qui concerne le groupware j'ai suivit le quick-install sur le site de l'éditeur, pour le mail je me suis inspiré de ces deux liens: anglais hollandais bien que c'est pratiquement le meme manuel, y a de petites différences, et il reste un truc que j'ai pas encore compris, c'est l'utilisation de libnss-mysql, car je l'ai désactivé et tout marche bien, et je ne connais pas un moyen de tester le fonctionnement de libnss-mysql. une dernière chose, lors de la création d'un utilisateur ox il ne faut pas oublier d'ajouter --imaplogin le_login_user à la commande createuser, __________________ Simbad le Marin Core 2 Duo E8400 / 4Go RAM / HD6850 / HDD 250Go OpenSuse 12.1
	00

22/01/2009, 10h32	#4
bastien56 Invité de passage Inscription : janvier 2009 Messages : 2 Détails du profil Informations forums : Inscription : janvier 2009 Messages : 2 Points : 2 Points : 2	Hello, Ici ca marche sur centos5.2 64bit avec un OOX en version 6.6 pro... mais franchement c'est une vrai galère à mettre en place tant sur la partie setup que la partie conf (cyrus/pam/postfix/mysql)... Sinon pour l'interface d'administration je me suis lancé dans la refonte de http://www.open-xchange.com/forum/showthread.php?t=2956 Pour l'instant j'ai ajouté un formulaire d'authentification et retouché qques bugs ... ca permet d'étiter des users en interface web bien plus pratique que l'interface web. Sinon j'ai également codé un script php de syncro : -> [lecture de l'AD via php/ldap] -> [lecture de l'OOX via PHP5/ webservice SOAP] -> [Puis création du user si il n'est pas dans la base MYSQL via SOAP] Seul hic le mot de passe (ici j'en génère un automatiquement) Si tu as le meme genre de problematique (OOX/AD) et si tu as une idée je suis preneur Donc sinon pour la création des users je vois la ligne de cmd avec l'option imap-login mais ... l'utilisation de SOAP est plus pratique Bon courage, @+ Bastien
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email