Guten Abend,
ich habe für die Firma eine Art externes "Add On" zum erstellen von Reports erstellt. (in ASP.net - aspx, C#)
Nun will ich, dass sich die bereits bestehenden OTRS User aus der Tabelle customer_user auf meinem
Add On anmelden können. Schon alleine deswegen, um nicht eigene User für dieses Add On erstellen zu müssen.
Dazu müsste ich aber den Verschlüsselungsalgorithmus wissen. Laut vieler Foreneinträge ist der MD5 Standard.
Dieser kommt auch "optisch" am nähesten, ist es aber nicht.
Ein weiterer Foreneintrag meinte, dass man in der SysConfig unter Customer::Auth nachsehen sollte.
Dort ist der SHA-2 eingestellt. Lustigerweise ist dieser Algorithmus der am wenigsten passende von allen.
Nun habe ich noch entdeckt, dass nicht alle User nicht denselben Algorithmus beim PW hatten. Manche sind mit Unix Crypt (rein optisch)
und andere wieder mit Salt-Einsatz (vermutlich). Woran kann das wieder liegen? Verschiedene Verschlüsselungseinstellungen bei verschiedenen OTRS Versionen?
Naja zurück zur eigentlichen Frage.
Kann es sein, dass zb. SHA-2/MD5 mehrfach über das gespeicherte Passwort angewandt wurde? (das hätte ich noch nicht getestet)
Kann man irgendwo den Code einsehen, damit man rausfindet wie das Passwort beim anlegen eines customer_users verschlüsselt wurde?
Da ich die Passwörter der User als Plaintext habe, hab ich zum Vergleichen der gehashten Passwörter ein eigenes Tool programmiert um die verschiedensten Hashwerte/Verschlüsselungswerte zu vergleichen. Angefangen von MD5, SHA1-5, DES etc. waren KEINE Hashwerte ident (bei ca. 30 User).
Muss dazu sagen, dass ich bisher nie direkt ins OTRS System inkludiert war und das ganze bei mir erst nach und nach aufkommt.
Bisher hatte ich nur mit der OTRS-DB zu tun aber eben nie mit der Funktionsweise des OTRS.
Hoffe auf positive Antworten.
Mfg
customer_user Passwort-Verschlüsselung - welcher Hash?
-
reneeb
- Znuny guru
- Posts: 5018
- Joined: 13 Mar 2011, 09:54
- Znuny Version: 6.0.x
- Real Name: Renée Bäcker
- Company: Perl-Services.de
- Contact:
Re: customer_user Passwort-Verschlüsselung - welcher Hash?
Wie im anderen Thread gesagt: Ich realisiere so etwas über das GenericInterface und die Aktion CreateSession.
Perl / Znuny development: http://perl-services.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
Free Znuny add ons from the community: http://opar.perl-services.de
Commercial add ons: http://feature-addons.de
-
phrenX
- Znuny newbie
- Posts: 6
- Joined: 29 Jan 2015, 19:58
- Znuny Version: 3.3.X
- Real Name: David Stockinger
- Contact:
Re: customer_user Passwort-Verschlüsselung - welcher Hash?
Das bringt mir so nicht viel da meine Applikation total unabhängig vom OTRS ist und NUR die DB-Daten weiter benutzt. D.h. auch die User und deren Login wäre interessant.
Die Applikation macht keine Einträge in die DB oder verändert Einträge (ausser Userspezifische) . Datensätze werden grundsätzlich NUR ausgelesen.
Die Applikation macht keine Einträge in die DB oder verändert Einträge (ausser Userspezifische) . Datensätze werden grundsätzlich NUR ausgelesen.