Project

General

Profile

Actions

action #97604

closed

Passwörter von Mail-Konten im AD

Added by flacco about 3 years ago. Updated 8 months ago.

Status:
Closed
Priority:
Normal
Assignee:
Category:
Discussion
Target version:
Start date:
2021-08-28
Due date:
2021-12-30
% Done:

10%

Estimated time:

Description

Wir speichern die Passwörter externer Mailkonten im Klartext im AD. Abgesehen davon, dass das grundsätzlich schon unsicher ist, ist es technisch gesehen auch extrem unschön.

Sind Sonderzeicheen und/oder Umlaute enthalten, kann das zu Problemen führen.

Fügt man ein neues Mailkonto mit dem neuen Toolbox-Script "addmailaccount" zum AD hinzu werden Passwörter die Umlaute enthalten automatisch nocht im Klartext, sondern Base64 kodiert im AD gespeichert. Das macht nicht mein Script, sondern das verwendete Tool "ldbadd" bzw. "ldbmodify". Beim Auslesen entsteht dann ein Problem, weil nicht klar ist, ob das PW im Klartext enthalten ist oder Base64-kodiert. Die automatische Erkennung macht die Anwendung eines komplexen regulären Ausdrucks erforderlich (was soweit ok ist).

Trotzdem stellt sich die Frage, ob wir die Passwörter nicht grundsätzlich Base64-kodiert speichern sollten? Das ist zwar noch kein Schutz, vergleichbar mit einer Verschlüsselung sondern maximal ein "Sichtschutz" abder das Handling der Passwörter in irgendwelchen Shellscripts ist wesentlich einfacher, da wir uns nicht mehr mit ekelhaften Sonderzeichern herum schlagen müssen.

Was denkt Ihr. Klartext oder Base64?

Bitte um Rückmeldung.

Actions #1

Updated by ingogoeppert about 3 years ago

Generell Base64 (anstatt bisher nur bei Bedarf durch die jeweiligen Tools konvertiert als Base64) um das Handling zu vereinfachen.

Wie du richtig schreibst ist das natürlich kein Schutz. Wir brauchen das Passwort gezwungenermaßen im Klartext, hash reicht nicht. Maximal möglich wäre verschlüsselt, dann müsste der Schlüssel aber auch wieder irgendwo auf dem Server liegen. Würde somit nur die ggf. mögliche Abfrage der Passwörter per ldap erschweren. Aber wer die entsprechende Berechtigung hat auf den Zweig mit den Passwörtern zuzugreifen, kann sich auch auf dem Server anmelden und den Schlüssel auslesen.

Actions #2

Updated by flacco about 3 years ago

  • Due date changed from 2021-09-30 to 2021-12-30
Actions #3

Updated by flacco about 3 years ago

  • Status changed from New to In Progress
  • % Done changed from 0 to 10
Actions #4

Updated by flacco 8 months ago

  • Status changed from In Progress to Closed

Die Scripts refreshfrc und changemacstate wurden dahingehend angepasst.

Actions

Also available in: Atom PDF