invis-server » invisAD-setup

Wir speichern die Passwörter externer Mailkonten im Klartext im AD. Abgesehen davon, dass das grundsätzlich schon unsicher ist, ist es technisch gesehen auch extrem unschön.

Sind Sonderzeicheen und/oder Umlaute enthalten, kann das zu Problemen führen.

Fügt man ein neues Mailkonto mit dem neuen Toolbox-Script "addmailaccount" zum AD hinzu werden Passwörter die Umlaute enthalten automatisch nocht im Klartext, sondern Base64 kodiert im AD gespeichert. Das macht nicht mein Script, sondern das verwendete Tool "ldbadd" bzw. "ldbmodify". Beim Auslesen entsteht dann ein Problem, weil nicht klar ist, ob das PW im Klartext enthalten ist oder Base64-kodiert. Die automatische Erkennung macht die Anwendung eines komplexen regulären Ausdrucks erforderlich (was soweit ok ist).

Trotzdem stellt sich die Frage, ob wir die Passwörter nicht grundsätzlich Base64-kodiert speichern sollten? Das ist zwar noch kein Schutz, vergleichbar mit einer Verschlüsselung sondern maximal ein "Sichtschutz" abder das Handling der Passwörter in irgendwelchen Shellscripts ist wesentlich einfacher, da wir uns nicht mehr mit ekelhaften Sonderzeichern herum schlagen müssen.

Was denkt Ihr. Klartext oder Base64?

Bitte um Rückmeldung.