4 votes

568ml avatar

L'authentification aux services du serveur "nécessite de stocker votre mot de passe sous une forme moins sécurisée".

Demandé el 28 de Août, 2017
Quand la question a-t-elle été
730 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai acheté et téléchargé l'application MacOS Server pour héberger un VPN et un dépôt Satis.

Lors de l'activation des services VPN ou Sites Web, une boîte de dialogue apparaît, demandant "Voulez-vous changer la façon dont votre mot de passe est stocké ?", avec l'avertissement suivant : "L'authentification à ce service nécessite le stockage de votre mot de passe sous une forme moins sécurisée".

Je ne trouve pas d'autres informations à ce sujet, ni dans la documentation du serveur, ni en faisant une recherche sur Google.

  • Qu'est-ce que cela signifie en réalité ?
  • Pourquoi cela est-il nécessaire ?
  • Cela concerne-t-il les informations d'identification de mon compte utilisateur MacOS ? Si oui, cela affectera-t-il uniquement les informations d'identification du compte à partir duquel l'application serveur est exécutée (si c'est le cas, je créerai un compte utilisateur distinct pour exécuter l'application serveur) ?

Merci beaucoup pour votre temps et votre aide.

Demandé el 28 de Août, 2017 par 568ml

Réponses

Trop de publicités?

1voto

Gareth Jenkins avatar
Gareth Jenkins Points 1480

OS X stocke votre mot de passe dans un format crypté unidirectionnel de type "salted hash" (Voir cette question qui "brouille" votre mot de passe (combiné à un "sel" ) de manière à ce qu'il ne puisse pas être décrypté, mais produise la même valeur à chaque fois.

Selon la façon dont Apache est configuré, il utilise différents algorithmes (normalement salés), dont MD5, SHA1 et crypt : voir la documentation

Ils sont plus faciles à craquer que SHA-512, mais aussi assez sûrs (ils utilisent un sel et sont des hachages à sens unique). Un attaquant devrait obtenir le fichier htpasswd pour craquer votre mot de passe).

Il en va de même pour le serveur VPN : Je ne suis pas sûr de l'algorithme de hachage qu'il utilise, mais c'est un algorithme dont l'entropie est inférieure à celle de la base de données interne des utilisateurs, ce que signifie l'avertissement.

C'est nécessaire parce que chaque logiciel est écrit par des mainteneurs différents (le serveur web par Apache, par exemple) et non par Apple, et parce qu'ils stockent votre mot de passe au lieu de vous authentifier par rapport à la base de données des utilisateurs d'OS X.

Il s'agit des utilisateurs autorisés à s'authentifier auprès de ces services (le VPN et les services Web) et non du compte d'utilisateur sous lequel l'application serveur est exécutée.

Répondu el 31 de Août, 2017 par Gareth Jenkins (1480 Points )

1voto

Leland Wallace avatar
Leland Wallace Points 685

Dans le prolongement de la réponse de @Josh, certains services existants nécessitent l'utilisation d'un algorithme de hachage appelé MS/CHAP. L'une des propriétés malheureuses de la famille de hachage MS/CHAP est que le hachage stocké est suffisamment faible pour permettre la récupération du mot de passe. C'est un problème si le fichier du serveur contenant les hachages est volé par un attaquant. Le serveur VPN PPTP est l'un des anciens services qui utilisent MS/CHAP.

Cela dit, vous n'avez pas besoin d'affaiblir le hachage de l'administrateur du serveur si cette personne n'utilisera pas de VPN. Les utilisateurs créés après l'installation et la configuration de Server.app verront leur hachage affaibli. Vous pouvez utiliser l'outil pwpolicy(8) pour voir quels hachages sont enregistrés pour un utilisateur. Si vous avez un utilisateur créé avant le démarrage du VPN et que vous souhaitez qu'il utilise le service, vous pouvez aller dans le panneau des utilisateurs et rechercher cet utilisateur, vous verrez un message "l'utilisateur peut ne pas être en mesure d'accéder à tous les services" avec une option de correction. Choisissez la solution.

Je pense que c'est toujours une bonne idée d'avoir un utilisateur spécifique pour les tâches d'administration du serveur. Je vous encourage donc à créer un utilisateur pour exécuter Server.app et par la suite, il ne sera pas nécessaire d'affaiblir les hachages pour cet utilisateur.

Répondu el 4 de Septembre, 2017 par Leland Wallace (685 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X