Neptun és Moodle

 ( Apa | 2013. november 20., szerda - 11:30 )

Sziasztok!

Van valaki, aki meg tudná mondani, hogy a csodálatos Neptun rendszer milyen kódolással tárolja a jelszavakat? Egy Moodle rendszer felhasználói hitelesítését szeretném rábízni a Neptun felhasználói adatbázisára, de a Moodle-ben beállítható MD5 és SHA1 nem vezet eredményre.

A Neptun adatbázisa MSSQL 2008R2-ben lakik.
A Moodle (2.6) Debian Wheezy alatt megy és MySQL adatbázist használ.
El is jutok a Neptunban tárolt felhasználókhoz (van erre egy read only nézet), a felhasználók is megvannak, de a jelszó kódolás számomra ismeretlen, így annak ellenőrzése nem megy.

Hálás köszönet minden 5letért!

Attila

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Subscribe

Nálunk úgy oldották meg, hogy van a neptun login, meg van egy SSO, ami mögött ott van minden más. Az adatokat áthúzza a neptunból, csak külön kell belépni.

Nekem egyenlőre "csak" a Neptun-Moodle együttműködés a fontos, kizárólag a felhasználói hitelesítés kérdésében. Nem szeretnék csak ezért külön szolgáltatásokat (mint például SSO) hadrendbe állítani, egyszerűbb lenne tudni a jelszó titkosítás mechanizmusát. De lehet, hogy bilibe lóg a kezem :-)

Most kaptam egy infót emailen, miszerint "saját" kódolási eljárást használnak. Amire most gondolok, azt inkább megtartom magamnak, nem piszkítom be sem a billentyűzetemet, sem pedig ezt a nagyszerű portált... :-(

LoL :)

Minden intézményben van contact person aki hozzáfér a Neptun dokumentációhoz. Erre nem ITT fogsz megoldást találni. Járd be a hivatali utat az intézményedben. Akinek kell (értsd akit a saját oktatási intézménye ezzel megbíz/meghatalmaz) az itt tud hozzáférni az anyagokhoz: http://www.neptun.org.hu/ Ezt az embert kell megtalálnod az intézményedben... és az ő útmutatását kérni.
Normálisabb intézményekben pl rákötnek egy shibboleth authot az üzemeltetők a "külső" szolgáltatások részére. Ahány ház annyi szokás. A helyi IT főguru majd útba igazít, hogy hogyan (és milyen feltételekkel) autholhatod a Neptunból a moodlidat.

Óbudai Egyetemen Neptunon keresztül megy a beléptetés, moodleadmin kukac uni-obuda.hu <- itt például biztos tudnak segíteni...

nekem már volt, hogy egy véletlenül noreply@ kezdetűre küldött levélre is válaszolt valaki, bár ahhoz azért kellett néhány hónap átfutási idő :D

OE-n ugy mukodik, hogy a neptunnak van egy https webservice-e ami ellenorzi a parameterben atadott user+jelszot (asszem plaintext), es azt hivjak meg az egyeb szolgaltatasok autentikacional. tehat az ellenorzest maga a neptun vegzi. innentol lenyegtelen hogy a neptun belul hogy tarolja, milyen hash vagy titkositassal.

A'rpi

tehát lehet választani a bolygóirtó atomtámadás (Shibboleth) meg a pistike módszerek (plaintext paraméterek) közt?

Sose értettem... jó, a Shibboleth behoz egy csomó szervezeti baszt, amire élő embernek soha nem volt szüksége.

Az OAuth 2.0 is elment ebbe az irányba, pedig az esetek 90%-ban elég az 1.x: "Szia Józsi, ez itt Béla, azt kérdezi, bemutathatlak-e neki?"

Nem állítom, hogy egy hülye is leimplementálja biztonságosan, de maga a protokol azért nem atomfizika, és egy plaintext paraméterellenőrzésnél mindenképp jobb...

szerintem nem pistike modszer, egy neptunba epitett webservice ami SSL-el megkapja a jelszot (tehat a halon titkositva megy at) es maga turkal az adatbazisaban, nem pedig a kulso szolgaltatasok, miert lenne az?

gyakorlatilag a sima neptun webfeluleten is lehetne ellenorizni, egy automatikus form kitolto es az eredmenyt vizsgalo scripttel, na az lenne mar pistike modszer :)

A'rpi

de pistike módszer, mert a másik rendszer is megkapja...

amikor facebook connectet használsz, szerinted a rendszer amire belépsz, megkapja a jelszavad?:)

(s/facebook connect/(Google Account|twitter connect|...)/)

az egész neptun egy kokány munka... :)

Ezt lehet nem kene :D

--
http://szolarenergia.hu

Az erre válaszoló fagyalgóknak mondom, hogy az SDA által ez a supportált interfész. A webservice modult kell hozzá megvásárolni a cégtől.

Igen, aki használja az interfészt, az a user által beadott jelszót látja.
Ezért nem is célszerű ezt kiadni bárkinek. Ezt az egyetemi IT használja csak.

A shibboleth pedig azért jó, mert ha van egy beállított infrastruktúrád, akkor egy-egy webszerverre minimális erőfeszítéssel tudsz authentikációt beállítani és ez esetben az egyes (nem, vagy csak részben trusted) végpontok (SP-k) már nem látják a jelszavakat, csak az IDP.

(Láttam már olyan megoldást is, ahol a rendszergazda visszafejtette a hashelési eljárást és tudta ellenőrizni a felhasználó jelszavát. Ez a fenti megoldásnál cseppet sem jobb, viszont ráadásul még unsupported is. :-)

Üdv.
--
Cstamas

Csak ezt lehet nem kene igy hirdetni mondjuk? Mert nem vet jo fenyt egyik sulira se.... Na mind1...

--
http://szolarenergia.hu

A shibboleth pedig azért jó, mert [..] egy-egy webszerverre minimális erőfeszítéssel tudsz authentikációt beállítani

A minimálissal azért vitatkoznék...

ezzel egyet ertek :)

--
http://szolarenergia.hu

Szerencsere azert a shibd most mar honapokig is elmegy anelkul, hogy elbotolna a sajat lababan. Ez egy-masfel evvel ezelott korantsem volt igy :) Az meg, hogy a legtobb altalam latott felhasznalasra tokeletesen overengineered, es indokolatlanul nagy, az egy dolog.

Minimális *miután* már rendelkezésre áll a megfelelő infrastruktúra.

És utána is user szempontból könnyű elsősorban. Beállítani, főleg aki először lát ilyet elég horror, tudom.

Üdv.
--
Cstamas

A topicindító pont ezt "a rendszergazdát" keresi, mert nem akarja a hazai GDP-t növelni :)

Nalunk a moodle rendszer kicsit maskepp azonosit... A pontos mukodest nem mondom el ha nem baj. Egy darab jelszo se kerul at a moodle rendszerbe.
Regebben radiuson keresztul azonositottunk, max debug modba latszik jelszo... ami ugye nagyreszben elegge ritka ugye :)

--
http://szolarenergia.hu

Józan ember sózatlan jelszavakat nem tárol adatbázisban, így valószínűleg itt bukik el a próbálkozás a standard hashelési próbákkal.

Aztán jön egyszer egy olyan igény, hogy egyik rendszerből át kellene migrálni a másikba az usereket és baszhatod a random sózási módszered.

Nálunk pl az egyik rendszerben ezért van 4 féle jelszó tárolási mód is...

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Mintha ez jogilag (vagy adatvédelmileg?) sem lenne okés. Pl. a BME-n ezért vezették be a címtárat.

A BME-n annyiminden van, hogy kicsit már-már vergődésnek érzem...
- van, ahova Neptun kóddal, s a Neptunban beállított (!) jelszavammal lépek be (pl.: kifizetésfigyelő)
- van, ahova Neptun kód kell, s egy, a site-on beállított jelszó (itt alapértelmezés a születési dátumos dolog szokott lenni, vagy kiküldik e-mailben – pl.: CPorta, Porog1 tárgyhonlap)
- Van a HSZK-s azonosítom, ami gyak. már semmire nem jó. Jah, de, az Ural2-t ezzek érem el.
- Van a címtáras azonosítóm, amire, bár egyre több oldal támaszkodik, értelmét – én – még nem látom...
--
blogom

A címtár viszonylag új dolog, fokozatos átállás folyik.

Tavaly volt egy érdekes előadás, ahol az egyik BME-s címtárért felelős ember elmondta, hogy az egészre miért van szükség, miért nem lehet a neptun kód a címtáras azonosító, stb. Sajnos az előadás anyagát nem találom...

Amire emlékszem, hogy a neptunos azonosítással elég sok gond volt, némi bürokrácia is bejátszott, és egyszerűbbnek tűnt összehozni egy saját független címtárat, mint a neptunt használni. Így ráadásul egységesíthetőek a különféle authentikációs megoldások, nyilván ez még itt-ott folyamatban van.

Btw ha már szóba került: a cporta egy érdekes állat oktatói szemmel is, pl. fel vagyok véve hallgatóként az általam tartott kurzusba. :)

Szerencsére a C portához nincs közöm :-).

Én mondjuk tuti utálnám, ha "X" rendszer üzemeltetői bármilyen módon hozzáférnének az "Y" rendszerben használt jelszavamhoz. Ennek nem így kellene működnie.

Nem érdekel a konkrét jelszava, két hash összehasonlítása lett volna a feladat.

IMHO GOTO saját egyetem Neptun üzemeltetési IT csoport. Az hogy egy másik intézmény hogy csinálta meg az nem jelenti azt, hogy ezt nálad lehet / szabad.

A hash-t egy, a böngészőben futó kód állítja elő, vagy a moodle server?

A Moodle

Tehát megkapod a Neptun jelszavakat titkosítatlan. Akkor viszont fenntartom a kezdő megjegyzésem.

Nem, nem kapom meg titkosítatlan. A Neptun adatbázisban hashelt jelszavak vannak, ezt szerettem volna összehasonlítani a Moodle-ben beírt jelszó hash-sel. Ennyi...

Magyarul a Moodle-be valaki a Neptun-jelszavát írja be. Magyarul megkapod a Neptun jelszót titkosítatlanul.

Van ra egy olyan kis kincs hogy simplesaml :) De nem en mondtam en ;)

--
http://szolarenergia.hu - A hálózat építést csak elkezdeni lehet, befejezni nem....