Discussion :

[Général03]

Bonjour,

je souhaite effectuer une authentification avant que l'utilisateur soit diriger vers la page demandée. Pour cela, j'ai besoin d'aller lire le mot de passe dans le fichier de FreeNAS. Le fichier en question est "/etc/master.passwd" et le 2e champs est celui qui m'intéresse. Voila la ligne en question

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
testftp:$1$maF5Df4y$AT64DhGrZtKWER7IhCHgP1:1003:50::0:0:testftp:/:/usr/local/bin/scponly

En lisant les différentes documentation je me suis rendu compte que le cryptage était de type md5 car le mot de passe crypté dans le fichier est précédé de "$1$".

Mon problème est que le mot de passe dans le fichier "master.passwd" est différent de mon mot de passe crypté en md5

mot de passe dans master.passwd => maF5Df4y$AT64DhGrZtKWER7IhCHgP1

mot de passe crypté en md5 => ff104b2dfab9fe8c0676587292a636d3

Pourquoi cette différence ? D'autant plus que je constate 2 choses dans le fichier master.passwd:
- il y a un succession de majuscule et minuscule que n'a pas md5
- le mot de passe contient un caractère "$"

Merci de votre aide

[Général03]

En allant jeter un coup d'oeil sur la définition md5 je suis tombé la dessus

MD5 peut aussi être utilisé pour calculer l'empreinte d'un mot de passe ; c'est le système employé dans GNU/Linux avec la présence d'un sel compliquant le décryptage. Ainsi, plutôt que de stocker les mots de passe dans un fichier, ce sont leurs empreintes MD5 qui sont enregistrées, de sorte que quelqu'un qui lirait ce fichier ne pourra pas découvrir les mots de passe.

Donc si je comprend bien, je ne peux pas exploiter le fichier master.passwd ?? De plus j'ai remarqué :
- La valeur du hachage du mot de passe contenu dans master.passwd est renouvelé à chaque redémarrage du PC
- Un mot de passe crypté en md5 est composé de 32 caractères or dans ce fichier il y en a plus

Mais alors comment puis-je faire pour récupérer le mot de passe à partir d'un script PHP ?

Merci

[tonton fred]

Salut,

En allant jeter un coup d'oeil sur la définition md5 je suis tombé la dessus
Donc si je comprend bien, je ne peux pas exploiter le fichier master.passwd ?? De plus j'ai remarqué :
- La valeur du hachage du mot de passe contenu dans master.passwd est renouvelé à chaque redémarrage du PC

La valeur est probablement renouvellee a chaque demarrage a cause du sel different.

- Un mot de passe crypté en md5 est composé de 32 caractères or dans ce fichier il y en a plus

Peut etre que ce n'est pas du md5. Par defaut il me semble que master.passwd utilise des.

Mais alors comment puis-je faire pour récupérer le mot de passe à partir d'un script PHP ?

Ce serait un enorme trou de securite de pouvoir faire ca!
Quand tu te loggues, le systeme hache le mot de passe que tu entres, le compare avec la valeur hachee qu'il connait et te donne ou non l'acces. Il est a priori impossible de trouver le mot de passe a partir de la valeur de hachage, c'est d'ailleurs le but

Explique plutot ce que tu cherches a faire.

[Général03]

La valeur est probablement renouvellee a chaque demarrage a cause du sel different.

Je n'ai pas bien compris se qu'était le sel, tu pourrais m'en dire plus ?

Peut etre que ce n'est pas du md5. Par defaut il me semble que master.passwd utilise des.

Pourtant dans l'avant dernier paragraphe de ce lien http://www.freebsd.org/doc/fr_FR.ISO...ook/crypt.html il est dit que c'est du md5 selon mon fichier master.passwd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

testftp:$1$maF5Df4y$AT64DhGrZtKWER7IhCHgP1:1003:50::0:0:testftp:/:/usr/local/bin/scponly

si j'ai bien compris

Explique plutot ce que tu cherches a faire.

Je cherche à réaliser une page d'authentification qui autorise l'accès à l'utilisateur si le mot de passe et login sont correct. Ce mot de passe est paramétré dans mon serveur FreeBSD qui héberge ma page d'authentification.
Une fois le mot de passe saisi je pensais le hacher en md5 et le comparer au fichier master.passwd qui contient le mot de passe hacher de l'utilisateur. Ainsi, si les 2 mots de passe hachés sont identiques j'autorise l'accès.
En aucun cas, je souhaite connaitre le mot de passe en clair. Se qui m'intéresse est de savoir si l'utilisateur est reconnu par mon serveur pour accéder aux différentes pages.

Merci de ton aide

[debPG43]

Salut,
le sel ou le grain de sel est la technique consistant à ajouter une valeur à un mot de passe avant de le hacher. Cela permet principalement de lutter contre les bases de données stockant un mot de passe et sa correspondance md5 (comme http://decrypt.vanvan.cc/) mais aussi de renforcer la protection d'un mot de passe faible contre un "décrypteur" utilisant la force brute.

En général pour faire ce que tu souhaite on passe par le LDAP.
voir http://julp.developpez.com/freebsd/a...fication-ldap/

[Général03]

le sel ou le grain de sel est la technique consistant à ajouter une valeur à un mot de passe avant de le hacher. Cela permet principalement de lutter contre les bases de données stockant un mot de passe et sa correspondance md5 (comme http://decrypt.vanvan.cc/) mais aussi de renforcer la protection d'un mot de passe faible contre un "décrypteur" utilisant la force brute.

Mais ce sel, FreeBSD le connait car si à chaque redémarrage de la machine il donne un nouveau mot de passe haché il faut qu'il le retrouve. Dans mon cas je pourrai récupérer la valeur du sel, l'associer à mon mot de passe, hacher le tout et regarder si cette valeur est identique à celle stockée par FreeBSD ?

En général pour faire ce que tu souhaite on passe par le LDAP.

J'ai l'impression que cette technique est dur à mettre en place, de plus je croyais que LDAP était fait pour les annuaires (nom, adresse,... des personnes) ?

[Général03]

En se qui concerne la configuration du serveur, le fichier /usr/local/etc/openldap/slapd.conf n'existe pas. J'ai mis le contenu préconisé du tuto dans le fichier/usr/local/etc/openldap/lapd.conf
Est se normal que le fichier slapd.conf ne soit pas présent sur ma machine ?

[tonton fred]

Disons que ca arrive, cela depend des ports. Le probleme etant de bien gerer les mises a jours (ecraser? prendre le risque de fonctionner avec un fichier de config d'une autre version?) donc souvent le fichier de conf par defaut est installe dans /usr/local/share/example (ou quelque chose d'approchant, je ne suis pas sur mon ordi) et c'est a l'utilisateur de faire la manip a la main.

[Général03]

J'ai regardé dans /usr/local/share/example mais rien concernant ce fichier. Alors j'ai fait une recherche du fichier slapd.conf sur le système mais rien trouvé.
Tu veux dire que c'est à moi de créer ce fichier et mettre son contenu ?

[Général03]

J'ai regardé dans /usr/local/share/example mais rien concernant ce fichier. Alors j'ai fait une recherche du fichier slapd.conf sur le système mais rien trouvé.

en faite j'avais installer la partie cliente mais j'ai oublié d'installer la partie serveur d'openLdap(car mon PC va se connecter au serveur LDAP en local, sur la même machine). Maintenant je trouve tous mes fichiers slapd.
Mais lorsque j'essaie de lancer mon serveur LDAP

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/usr/local/etc/rc.d/slapd start

j'obtiens ces logs

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 slapd[2049]: nss_ldap: could not search LDAP server - Server is unavailable

Quelqu'un pourrait m'aider pour diagnostiquer le problème ? Merci

[Général03]

En allant voir dans /usr/local/etc/openldap/slapd.conf j'ai remarqué ces 2 lignes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args

or si je vais dans /var/run, aucun de ces fichiers sont présents
En lisant le tuto dont je me suis inspiré il est bien noté

Fichiers nécessaires au bon fonctionnement de LDAP

Pour quoi ces fichiers ne sont pas présent et comment peut on les récupérer ?

Merci pour votre aide