El Domingo, 13 de Julio de 2008, El buit escribió:
La otra opcion que queria probar era modificar el modulo auth para cifrar la contraseña (la del ldap no, la que le pongo al cliente), pero creo que en realidad el cliente no le pasa la contraseña para autentificarse, si no que mas bien el servidor le proporciona un reto que debe superar.
Efectivamente: La autenticación SIP es Digest por lo que el servidor envía un reto, el cliente genera un hash en base a ese reto y a su contraseña (contraseña que sólo el usuairo y el servidor conocen) y lo envía. El servidor al recibir la respuesta del usuario comprueba si el hash recibido coincide con el que el generaría al tener también dichos datos.
Por ejemplo en auth_db de OpenSer, puede guardar la contraseña de los usuarios en plano o en HA1, es más seguro obviamente que lo guarde en HA1 además de que así el servidor no tiene que hacer el cálculo computacional de calcularlo en base al password en texto claro.
Lo mismo me pasa si lo intento contra freeradius, que le hace falta la contraseña en claro o el ha1.
Hay una extensión para FreeRadius para que haga Digest, lo que no sé es si permite tener el password en UnixCrypt, casi seguro que no.
En definitiva creo que sí o sí necesitas tenerlo en HA1 (tampoco es tan malo, ¿no?).