[OpenSER-Users-ES] Una duda sobre el password que pasamos por teclado y autentificacion mediante ldap
Iñaki Baz Castillo
ibc at aliax.net
Sun Jul 13 13:02:07 CEST 2008
El Domingo, 13 de Julio de 2008, El buit escribió:
> La otra opcion que queria probar era modificar el modulo auth para
> cifrar la contraseña (la del ldap no, la que le pongo al cliente),
> pero creo que en realidad el cliente no le pasa la contraseña para
> autentificarse, si no que mas bien el servidor le proporciona un reto
> que debe superar.
Efectivamente: La autenticación SIP es Digest por lo que el servidor envía un
reto, el cliente genera un hash en base a ese reto y a su contraseña
(contraseña que sólo el usuairo y el servidor conocen) y lo envía. El
servidor al recibir la respuesta del usuario comprueba si el hash recibido
coincide con el que el generaría al tener también dichos datos.
Por ejemplo en auth_db de OpenSer, puede guardar la contraseña de los usuarios
en plano o en HA1, es más seguro obviamente que lo guarde en HA1 además de
que así el servidor no tiene que hacer el cálculo computacional de calcularlo
en base al password en texto claro.
> Lo mismo me pasa si lo
> intento contra freeradius, que le hace falta la contraseña en claro o
> el ha1.
Hay una extensión para FreeRadius para que haga Digest, lo que no sé es si
permite tener el password en UnixCrypt, casi seguro que no.
En definitiva creo que sí o sí necesitas tenerlo en HA1 (tampoco es tan malo,
¿no?).
--
Iñaki Baz Castillo
More information about the Users-es
mailing list