PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheit Cyrus SASLAUTH



minimike
10.03.10, 09:45
Hi

Gerade eben habe ich nach Jahren wieder mal SASLAUTH zum fliegen gebracht. Das läuft diesmal zusammen mit OpenLDAP. Beim Testen der Konfiguration ist mir folgendes unschön Aufgefallen. Wenn man das Passwort nur zum Teil mitgibt wird man auch authentifiziert. Untern anstehend mal ein Beispiellisting. das Passwort lautet "jamesblond007"



[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblond007
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p amesblond007
0: NO "authentication failed"
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblond007
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblond00
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblond0
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblond
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblon
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesblo
0: OK "Success."
[root@aquarium ~]# testsaslauthd -u footest_de -p jamesbl
0: NO "authentication failed"


Kann es sein das mir ein Konfigurationsfehler unterlaufen sein kann? Was ich mir nicht vorstellen kann, denn das Passwort liegt mit {CRYPT} verschlüsselt im LDAP Baum. Ist das ein bekannter Fehler? Wenn ja kann man dies irgendwie entschärfen? Ist SASLAUTH dann überhaupt sicher? Ich wollte das nehmen damit mein IMAP sowie der MTA die selbe Sprache spricht.

muell200
10.03.10, 11:27
Kann es sein das mir ein Konfigurationsfehler unterlaufen sein kann?

denke - ja

bei mir geht das nicht!



ef@mail:~>testsaslauthd -u ef -p geheim
0: OK "Success."
ef@mail:~> testsaslauthd -u ef -p gehe
0: NO "authentication failed"
ef@fmail:~> testsaslauthd -u ef -p geheiAAA
0: NO "authentication failed"

hessijens
10.03.10, 11:33
Unix-Crypt nutzt maximal 8 Zeichen des Passwortes für den Hashwert. Das Erklärt dann das Verhalten. Somit ist das völlig normal. Möchtest Du längere Passwörter solltest Du auf eine andere Verschlüsselungsmethode der Passwörter in ldap umstellen z.B.: password-hash {SMD5} {SHA} {SSHA}....