Comparaison userpassword - LDAP

Version imprimable

Bonjour tout le monde!

Donc voici mon premier message sur votre forum, en esperant une aide :D

Voila donc ce que je dois faire :

il faut me connecter a un serveur LDAP, parcourir celui-ci jusqua trouver un user dont je connais le login, et verifier si le password communiqué correspond a celui rentré dans la base LDAP.

J'arrive a tout faire SAUF que le format de stockage du userpassword sur LDAP peut etre hasher (c'est mon cas...) et est encodé en base64.

J'essaye donc de comparer un mot de passe en "clair" que lon me fournit avec le mot de passe LDAP hacher et encodé en base64.

J'ai trouvé pas mal d'exemple en perl, Python, Ruby ou encore en php mais rien en C.

Je vous donne la correspondance trouvé en php (tiré de la FAQ de OpenLDAP)
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 so, in your entry, an attribute like this could be specified: userPassword: {SHA}fDYHuOYbzxlE6ehQOmYPIfS28/E= but when you do a slapcat or ldapsearch and the output is in LDIF format, the userpassword will be base_64 encoded, and it will look like this: userPassword:: e1NIQX1mRFlIdU9ZYnp4bEU2ZWhRT21ZUElmUzI4L0U9 Confused yet ? Now enter PHP (< 5). You would like to generate a {SHA} password from a cleartext password that was entered in a FORM by a user, which is held in $pass. It would be easy to do: $userpassword = "{SHA}" . sha1( $pass ); but that will generate: {SHA}7c3607b8e61bcf1944e9e8503a660f21f4b6f3f1 and altough that looks nice, it won't work. That's because the PHP sha1() function delivers a Hex encoded string. In PHP >= 5 you can set a boolean, to omit that: $userpassword = "{SHA}" . sha1( $pass, TRUE ); but in PHP < 5 you need to do this: $userpassword = "{SHA}" . pack( "H*", sha1( $pass ) ); this will generate: something very ugly that I can't represent here, since it is binary. now to avoid putting the binary stuff into the directory, you need to base_64 encode it, like this: $userpassword = "{SHA}" . base64_encode( pack( "H*", sha1( $pass ) ) ); this will, finally, generate {SHA}fDYHuOYbzxlE6ehQOmYPIfS28/E=
Je pense avoir ete assez clair dans ce que je voulais faire. Je pense que la comparaison est la methode la plus simple pour verifier un mot de passe hasher sur LDAP mais si vous avez un solution différente je suis preneur.

Une derniere chose : le C est bel et bien obligatoire! :D

Merci d'avance pour votre aide!

18/03/2008, 09h51
Médinoc
En clair, tu dois:
- Hacher le mot de passe communiqué en SHA-1 (il doit y avoir des bibliothèques pour ça, mais il n'y a pas de fonction standard pour le hachage).
- Ensuite:
  - soit encoder en base64 le mot de passe fraichement haché et comparer avec le mot de passe de LDAP
  - soit décoder le mot de passe LDAP et comparer les valeurs hachées.
18/03/2008, 10h18
sirjeje

Oui j'ai saisi comment je dois effectuer la comparaison, mais je n'arrive pas vraiment a trouver des bibliotheques pour faire ca.

Pour l'instant pour encoder-decoder en base64 j'utilisais openssl en ligne de commande avec l'option en.

Moi j'etais parti avec openssl/evp.h pour le sha1...
Sauf que lorsqu'il me hashe un mot, la longueur est trop grande par rapport au mot de passe hasher par le LDAP.

Du coup j'ai un peu de mal et je me demandais si quelqu'un avait deja fait ce genre de chose...
18/03/2008, 10h34
sirjeje

Bon oublié ce que jai dit juste avant...

En fait, j'obtiens le bon mot hacher mais de maniere hexadecimale.

Il faut donc maintenant que je trasforme mon hexadecimal en binaire et le binaire en base64 OU si cest possible de l'hexadecimal directement en base64.

Je vais essayer de trouver ca et je reviens vers vous (meme si ca ne ressemble plus vraiment a du reseau ca... Je peux le mettre dans le forum plus general de C? :oops: )