Fórumok
Sziasztok!
Van valaki, aki meg tudná mondani, hogy a csodálatos Neptun rendszer milyen kódolással tárolja a jelszavakat? Egy Moodle rendszer felhasználói hitelesítését szeretném rábízni a Neptun felhasználói adatbázisára, de a Moodle-ben beállítható MD5 és SHA1 nem vezet eredményre.
A Neptun adatbázisa MSSQL 2008R2-ben lakik.
A Moodle (2.6) Debian Wheezy alatt megy és MySQL adatbázist használ.
El is jutok a Neptunban tárolt felhasználókhoz (van erre egy read only nézet), a felhasználók is megvannak, de a jelszó kódolás számomra ismeretlen, így annak ellenőrzése nem megy.
Hálás köszönet minden 5letért!
Attila
Hozzászólások
Subscribe
Nálunk úgy oldották meg, hogy van a neptun login, meg van egy SSO, ami mögött ott van minden más. Az adatokat áthúzza a neptunból, csak külön kell belépni.
Nekem egyenlőre "csak" a Neptun-Moodle együttműködés a fontos, kizárólag a felhasználói hitelesítés kérdésében. Nem szeretnék csak ezért külön szolgáltatásokat (mint például SSO) hadrendbe állítani, egyszerűbb lenne tudni a jelszó titkosítás mechanizmusát. De lehet, hogy bilibe lóg a kezem :-)
Most kaptam egy infót emailen, miszerint "saját" kódolási eljárást használnak. Amire most gondolok, azt inkább megtartom magamnak, nem piszkítom be sem a billentyűzetemet, sem pedig ezt a nagyszerű portált... :-(
LoL :)
Minden intézményben van contact person aki hozzáfér a Neptun dokumentációhoz. Erre nem ITT fogsz megoldást találni. Járd be a hivatali utat az intézményedben. Akinek kell (értsd akit a saját oktatási intézménye ezzel megbíz/meghatalmaz) az itt tud hozzáférni az anyagokhoz: http://www.neptun.org.hu/ Ezt az embert kell megtalálnod az intézményedben... és az ő útmutatását kérni.
Normálisabb intézményekben pl rákötnek egy shibboleth authot az üzemeltetők a "külső" szolgáltatások részére. Ahány ház annyi szokás. A helyi IT főguru majd útba igazít, hogy hogyan (és milyen feltételekkel) autholhatod a Neptunból a moodlidat.
Óbudai Egyetemen Neptunon keresztül megy a beléptetés, moodleadmin kukac uni-obuda.hu <- itt például biztos tudnak segíteni...
nekem már volt, hogy egy véletlenül noreply@ kezdetűre küldött levélre is válaszolt valaki, bár ahhoz azért kellett néhány hónap átfutási idő :D
OE-n ugy mukodik, hogy a neptunnak van egy https webservice-e ami ellenorzi a parameterben atadott user+jelszot (asszem plaintext), es azt hivjak meg az egyeb szolgaltatasok autentikacional. tehat az ellenorzest maga a neptun vegzi. innentol lenyegtelen hogy a neptun belul hogy tarolja, milyen hash vagy titkositassal.
A'rpi
tehát lehet választani a bolygóirtó atomtámadás (Shibboleth) meg a pistike módszerek (plaintext paraméterek) közt?
Sose értettem... jó, a Shibboleth behoz egy csomó szervezeti baszt, amire élő embernek soha nem volt szüksége.
Az OAuth 2.0 is elment ebbe az irányba, pedig az esetek 90%-ban elég az 1.x: "Szia Józsi, ez itt Béla, azt kérdezi, bemutathatlak-e neki?"
Nem állítom, hogy egy hülye is leimplementálja biztonságosan, de maga a protokol azért nem atomfizika, és egy plaintext paraméterellenőrzésnél mindenképp jobb...
szerintem nem pistike modszer, egy neptunba epitett webservice ami SSL-el megkapja a jelszot (tehat a halon titkositva megy at) es maga turkal az adatbazisaban, nem pedig a kulso szolgaltatasok, miert lenne az?
gyakorlatilag a sima neptun webfeluleten is lehetne ellenorizni, egy automatikus form kitolto es az eredmenyt vizsgalo scripttel, na az lenne mar pistike modszer :)
A'rpi
de pistike módszer, mert a másik rendszer is megkapja...
amikor facebook connectet használsz, szerinted a rendszer amire belépsz, megkapja a jelszavad?:)
(s/facebook connect/(Google Account|twitter connect|...)/)
az egész neptun egy kokány munka... :)
Ezt lehet nem kene :D
--
http://szolarenergia.hu
Az erre válaszoló fagyalgóknak mondom, hogy az SDA által ez a supportált interfész. A webservice modult kell hozzá megvásárolni a cégtől.
Igen, aki használja az interfészt, az a user által beadott jelszót látja.
Ezért nem is célszerű ezt kiadni bárkinek. Ezt az egyetemi IT használja csak.
A shibboleth pedig azért jó, mert ha van egy beállított infrastruktúrád, akkor egy-egy webszerverre minimális erőfeszítéssel tudsz authentikációt beállítani és ez esetben az egyes (nem, vagy csak részben trusted) végpontok (SP-k) már nem látják a jelszavakat, csak az IDP.
(Láttam már olyan megoldást is, ahol a rendszergazda visszafejtette a hashelési eljárást és tudta ellenőrizni a felhasználó jelszavát. Ez a fenti megoldásnál cseppet sem jobb, viszont ráadásul még unsupported is. :-)
Üdv.
--
Cstamas
Csak ezt lehet nem kene igy hirdetni mondjuk? Mert nem vet jo fenyt egyik sulira se.... Na mind1...
--
http://szolarenergia.hu
A minimálissal azért vitatkoznék...
ezzel egyet ertek :)
--
http://szolarenergia.hu
Szerencsere azert a shibd most mar honapokig is elmegy anelkul, hogy elbotolna a sajat lababan. Ez egy-masfel evvel ezelott korantsem volt igy :) Az meg, hogy a legtobb altalam latott felhasznalasra tokeletesen overengineered, es indokolatlanul nagy, az egy dolog.
Minimális *miután* már rendelkezésre áll a megfelelő infrastruktúra.
És utána is user szempontból könnyű elsősorban. Beállítani, főleg aki először lát ilyet elég horror, tudom.
Üdv.
--
Cstamas
A topicindító pont ezt "a rendszergazdát" keresi, mert nem akarja a hazai GDP-t növelni :)
Nalunk a moodle rendszer kicsit maskepp azonosit... A pontos mukodest nem mondom el ha nem baj. Egy darab jelszo se kerul at a moodle rendszerbe.
Regebben radiuson keresztul azonositottunk, max debug modba latszik jelszo... ami ugye nagyreszben elegge ritka ugye :)
--
http://szolarenergia.hu
Józan ember sózatlan jelszavakat nem tárol adatbázisban, így valószínűleg itt bukik el a próbálkozás a standard hashelési próbákkal.
Aztán jön egyszer egy olyan igény, hogy egyik rendszerből át kellene migrálni a másikba az usereket és baszhatod a random sózási módszered.
Nálunk pl az egyik rendszerben ezért van 4 féle jelszó tárolási mód is...
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
Mintha ez jogilag (vagy adatvédelmileg?) sem lenne okés. Pl. a BME-n ezért vezették be a címtárat.
A BME-n annyiminden van, hogy kicsit már-már vergődésnek érzem...
- van, ahova Neptun kóddal, s a Neptunban beállított (!) jelszavammal lépek be (pl.: kifizetésfigyelő)
- van, ahova Neptun kód kell, s egy, a site-on beállított jelszó (itt alapértelmezés a születési dátumos dolog szokott lenni, vagy kiküldik e-mailben – pl.: CPorta, Porog1 tárgyhonlap)
- Van a HSZK-s azonosítom, ami gyak. már semmire nem jó. Jah, de, az Ural2-t ezzek érem el.
- Van a címtáras azonosítóm, amire, bár egyre több oldal támaszkodik, értelmét – én – még nem látom...
--
blogom
A címtár viszonylag új dolog, fokozatos átállás folyik.
Tavaly volt egy érdekes előadás, ahol az egyik BME-s címtárért felelős ember elmondta, hogy az egészre miért van szükség, miért nem lehet a neptun kód a címtáras azonosító, stb. Sajnos az előadás anyagát nem találom...
Amire emlékszem, hogy a neptunos azonosítással elég sok gond volt, némi bürokrácia is bejátszott, és egyszerűbbnek tűnt összehozni egy saját független címtárat, mint a neptunt használni. Így ráadásul egységesíthetőek a különféle authentikációs megoldások, nyilván ez még itt-ott folyamatban van.
Btw ha már szóba került: a cporta egy érdekes állat oktatói szemmel is, pl. fel vagyok véve hallgatóként az általam tartott kurzusba. :)
Szerencsére a C portához nincs közöm :-).
Én mondjuk tuti utálnám, ha "X" rendszer üzemeltetői bármilyen módon hozzáférnének az "Y" rendszerben használt jelszavamhoz. Ennek nem így kellene működnie.
Nem érdekel a konkrét jelszava, két hash összehasonlítása lett volna a feladat.
IMHO GOTO saját egyetem Neptun üzemeltetési IT csoport. Az hogy egy másik intézmény hogy csinálta meg az nem jelenti azt, hogy ezt nálad lehet / szabad.
A hash-t egy, a böngészőben futó kód állítja elő, vagy a moodle server?
A Moodle
Tehát megkapod a Neptun jelszavakat titkosítatlan. Akkor viszont fenntartom a kezdő megjegyzésem.
Nem, nem kapom meg titkosítatlan. A Neptun adatbázisban hashelt jelszavak vannak, ezt szerettem volna összehasonlítani a Moodle-ben beírt jelszó hash-sel. Ennyi...
Magyarul a Moodle-be valaki a Neptun-jelszavát írja be. Magyarul megkapod a Neptun jelszót titkosítatlanul.
Van ra egy olyan kis kincs hogy simplesaml :) De nem en mondtam en ;)
--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....