Hallo Leute,

habe gerade meine lokalen Benutzer und Cyrus in ein OpenLDAP migriert. Anmeldung funktioniert, aber nur PLAIN. Die Kennwörter im LDAP sind mit crypt verschlüsselt (slappasswd {CRYPT}). Kann ich da überhaupt CRAM-MD5 verwenden?

TIA!

Soweit ich weiß, will SASL Klartextpaßwörter im Verzeichnis haben. Die Bibliothek macht bei der Authentifizierung dann den Rest (sprich Übersetzung in CRAM-MD5).

Schlimmstenfalls allerdings mußt du sogar die Paßwörter in der saslpassdb ablegen. Das war, soweit ich mich erinnere, bei Version 1.x noch Pflicht, weswegen ich nie CRAM-/DIGEST-MD5 benutzt habe. TLS reicht imho auch. :)

Die Kennwörter liegen mit Crypt verschlüsselt im LDAP Verzeichnis, also nix Klartext.

Die Kennwörter liegen mit Crypt verschlüsselt im LDAP Verzeichnis, also nix Klartext.
Dann ist auch nix mit CRAM-MD5/DIGEST-MD5. Um die Challenge und die Response für diese Verfahren zu berechnen, benötigt man die Passwörter im Klartext.

*grübel*

Vorher lagen die in der /etc/sasldb2. Da lagen die aber auch nicht in Klartext. Kannst du mir da mal etwas mehr Informationen drüber geben?

Vorher lagen die in der /etc/sasldb2. Da lagen die aber auch nicht in Klartext.
Doch. ;) In der sasldb werden die Passwörter sowohl als Hash, als auch im Klartext gespeichert. Schau dir mal `strings /etc/sasldb2` an, ob dir darin etwas bekannt vorkommt.


Kannst du mir da mal etwas mehr Informationen drüber geben?
Grundsätzlich: Wenn Passwörter im Klartext übertragen werden, kannst du sie auf deinem Server als Hash speicher, weil du jederzeit die Hashfunktion auf das Klartextpasswort anwenden kannst.
Wenn Passwörter als Teil eines Hashes übertragen werden (CRAM-MD5 (http://www.gnu.org/software/gsasl/manual/html_node/CRAM_002dMD5.html) oder DIGEST-MD5 (http://www.gnu.org/software/gsasl/manual/html_node/DIGEST_002dMD5.html)), mußt du sie im Klartext speichern, weil du sonst den Hash nicht überprüfen bzw. die Tokens nicht berechnen kannst.

In dem Artikel zu CRAM-MD5 (http://de.wikipedia.org/wiki/Cram-md5) in der Wikipedia steht zwar, dass man dadurch keine Klartextpassworte mehr auf dem Server speichern müsse, aber das Passwort fungiert bei den mir bekannten Implementationen als Shared Secret, weshalb der Server es eben doch kennen muß. Der Vorteil liegt einzig und allein darin, dass ein Angreifer, der die übertragenen Daten abfängt, damit nichts anfangen kann.

Unter http://www.state-of-mind.de/vortraege/cyrus_sasl_vortrag_mailserver-konferenz.pdf findest du eine ganz nette Präsentation zu (Cyrus-)SASL, die einige deiner Fragen klären dürfte.

Ohhh, aahhh.... verstanden. Na ja, ich nutze nur IMAPS + TLS für Thunderbird, Squirrelmail geht nur über HTTPS. Ich denke das ich in dem Fall doch auf CRAM-MD5 verzichten kann.