Discussion :

[Jervi]

Bonjour,

J'ai besoin d'aide

Voici mon problème. J'ai un annuaire LDAP qui hash les mots de passe en SSHA.

Je voudrais en PHP hacher un mot de passe en SSHA et comparer le SSHA du LDAP avec celui du PHP. Mais je n'arrive pas a trouver de correspondance.

Jai parcouru beaucoup de site et de documentation. J'ai via le LDAP le SALT mais je ne sais pas trop quoi en faire.

Quelqu'un aurait-il des suggestions pour que je puisse re-créer en php ce hachage et faire correspondre les deux ?

Merci d'avance

[vorace]

voila ce que j'ai récupéré d'une application chez un client :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$hash = mot de passe récupéré depuis le ldap;
$ohash = base64_decode(substr($hash, 6));
$osalt = substr($ohash, 20);
$ohash = substr($ohash, 0, 20);
$nhash = pack("H*", sha1($mdp . $osalt));// $mdp mot de passe saisi dans l'appli
if ($ohash == $nhash) {...}

et ça aussi trouvé sur php.net :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
$mypassword = "toto";
$smd5_pass = "{SMD5}......." // in openldap
 
if (preg_match ("/{SMD5}/i", $smd5_pass))
 {
  $encrypted = substr($md5_pass, 6);
  $hash = base64_decode($encrypted);
  $salt = substr($hash,16);
  $mhashed =  mhash(MHASH_MD5, $mypassword . $salt) ;
  $without_salt = explode($salt,$hash);
   if ($without_salt[0] == $mhashed) {
    echo "Password verified <br>";
    } else {
    echo "Password Not verified<br>";
    }
 }

[Jervi]

Merci pour ta réponse, je vais tester ça des lundi. (Même si je pense avoir deja testé cette méthode ).

Si des personnes ont d'autres idées je suis preneur.

[Jervi]

J'ai réussi merci à toi

Il ne faut pas oublier de rajouter {SSHA} au mot de passe dans l'annuaire sinon ça ne marche pas.

[vorace]

J'ai réussi merci à toi

Il ne faut pas oublier de rajouter {SSHA} au mot de passe dans l'annuaire sinon ça ne marche pas.

tout dépend de l'algorithme de cryptage de ton ldap...mais effectivement dans mon cas aussi c'était ssha.

[mugiwara78]

Bonjour,

désolé de venir 2ans après la cloture de cette discussions mais j'ai la même chose que vorace.
Je débute avec ldap et je voulais savoir comment est-ce que tu as pu avoir le salt?

merci de ta réponse

[mugiwara78]

tout dépend de l'algorithme de cryptage de ton ldap...mais effectivement dans mon cas aussi c'était ssha.

Bonjour,

désolé de venir 2ans après la cloture de cette discussions mais j'ai la même chose que vorace.
Je débute avec ldap et je voulais savoir comment est-ce que tu as pu avoir le salt?

merci de ta réponse