Posté le: Lun Mar 20, 2006 3:17 pm
Salut,
J'ai une question à propos de la sécurité du Simple Password.
J'ai pu lire sur la doc de Novell que ce mot de passe était crypté pour le stockage mais qu'il était possible de le déchiffrer.
Alors voilà ma questions, je suis en train de mettre en place un serveur avec partage de fichier par le protocole CIFS (donc avec un simple password). Je voulais savoir si le mot de passe risquait de passer en clair sur le réseaum; ou s'il venait à se faire intercepté, se faire déchiffrer.
Niveau sécurité c'est du 100% garanti, très sur, un peu, ou pas du tout?
Merci Smile
Julien
Sécurité du Simple Password
-
Raymond
Re: Sécurité du Simple Password
Posté le: Lun Mar 20, 2006 7:54 pm
Si tu es avec du Netware 6.5 - en fait eDirectory 8.7.x - tu peux mettre en place le "mot de passe universel" qui est sécurisé "100% garanti" par NMAS.
_________________
Raymond
Si tu es avec du Netware 6.5 - en fait eDirectory 8.7.x - tu peux mettre en place le "mot de passe universel" qui est sécurisé "100% garanti" par NMAS.
_________________
Raymond
-
jml-61
Re: Sécurité du Simple Password
Posté le: Mar Mar 21, 2006 6:35 am
Voilà ce qu'écrit l'appnote récemment édité au sujet de l'évolution des mot de passe avec eDirectory 8.8
Novell AppNote/Sarangthem Chanu a écrit:
Grosso modo, le cryptage de ton mot de passe stocké est en DES ou triple DES, exploitant la clé du serveur de certification de l'arbre eDirectory. Et selon les échanges souhaités tu peux activer ou non des méthodes de hashage SHA-1 ou MD5 pour les échanges au moment de l'authentification. Cela vaut ce que cela vaut. Nombreux systèmes exploitent ce niveau de sécurité et Novell fait référence à Sun Java directory server. Mais la sécurité ne s'arrête pas à cet aspect. Il faut également entourer cela d'une stratégie de changement et de format de mot de passe.
_________________
A bientôt!... Smile
Le monde préfère un simple mensonge à une vérité complexe.
Voilà ce qu'écrit l'appnote récemment édité au sujet de l'évolution des mot de passe avec eDirectory 8.8
Novell AppNote/Sarangthem Chanu a écrit:
.Simple Password
Simple Password was designed to allow migration from third party systems such as Sun Java directory server. It is typically a SHA-1 or MD5 password hash, but it can be in clear text as well. Simple Password values are stored encrypted with DES or 3DES, based on your tree key. There are other restrictions on a Simple Password, such as "no password policy enforced" and "password does not expire."
Extrait de l'appnote "Password Enhancements in eDirectory 8.8" sur www.novell.com
Grosso modo, le cryptage de ton mot de passe stocké est en DES ou triple DES, exploitant la clé du serveur de certification de l'arbre eDirectory. Et selon les échanges souhaités tu peux activer ou non des méthodes de hashage SHA-1 ou MD5 pour les échanges au moment de l'authentification. Cela vaut ce que cela vaut. Nombreux systèmes exploitent ce niveau de sécurité et Novell fait référence à Sun Java directory server. Mais la sécurité ne s'arrête pas à cet aspect. Il faut également entourer cela d'une stratégie de changement et de format de mot de passe.
_________________
A bientôt!... Smile
Le monde préfère un simple mensonge à une vérité complexe.
-
julientsc
Re: Sécurité du Simple Password
MessagePosté le: Mar Mar 21, 2006 7:30 am
Oki,
(Si j'ai bien compris) Tu dis qu'on peut ou non activer des méthodes de hashage SHA-1 ou MD5 pour les échanges au moment de l'authentification. Mais cela se fait où exactement.
Oki,
(Si j'ai bien compris) Tu dis qu'on peut ou non activer des méthodes de hashage SHA-1 ou MD5 pour les échanges au moment de l'authentification. Mais cela se fait où exactement.
-
jml-61
Re: Sécurité du Simple Password
Posté le: Mar Mar 21, 2006 9:23 am
J'ai fait une "bourde" d'interprétation. Mea Culpa.
eDirectory stocke les mots de passe de type "Simple password" de façon cryptée en DES ou triple DES (sûurement relatif à la version de Netware adaptée au droit en vigueur dans chaque pays). La référence qui est faîte au sujet des hashages SHA-1 et MD5 ou mot de passe en clair, n'est pas lié à la transmission comme je l'ai évoqué plus haut, mais c'est le format du mot de passe récupéré dans le cas d'une migration de Sun Java directory server vers eDirectory. eDirectory prend ce mot de passe crypté ou non et lui applique par dessus son DES ou triple DES.
En raison du niveau de sécurité de SHA-1 et de MD5, je doute que eDirectory soit capable de les exploiter quand on est sur un serveur Netware. En fait je pense que ce qui a été exprimé dans l'appnote c'est le cas particulier d'un serveur Sun Solaris par ex. avec les services SaMBa et une authentification locale avec le support de Sun Java directory server. Novell se propose d'installer eDirectory comme base annuaire en lieu et place de Sun Java directory server, réexploitant les services cryptographiques locaux pour SHA-1 et MD5 ou sans si aucune précaution n'est prise à ce niveau pour desservir les besoins du serveur SaMBa local "ni vu, ni connu".
Donc pour revenir à ta question initiale, hors aspect stockage que nous avons déjà évoqué, les échanges de mot de passe entre poste Windows (sans client Novell ou NMAS) et services CIFS sur Netware se font de différentes manières: mode local ou mode domaine. Le premier correspond à du SMB en mode "workgroup" et le second c'est du SMB en mode 'domain" soit en reconduisant la paire identifiant/mot de passe vers un PDC Microsoft, soit en émulant un PDC localement.
Du descriptif que j'ai relu dans la doc novell, je tire la conclusion qu'on a toute les contraintes d'un serveur SaMBa (de toute évidence ce n'est qu'un portage). Donc le transport du mot de passe exploite les possibilités offertes par le protocole SMB. Il faut activer la demande de signature des paquets échangés pour l'authentification, côté serveur. Donc sur la console serveur NW6.5 après avoir installé et activé CIFS, il faut taper "cifs signatures enable" et pour que cela s'impose à l'utilisateur faire suivre d'un "cifs signatures mandatory". Ceci est réversible avec un "cifs signatures optional", puis un "cifs signatures disable". Le poste exploite ses moyens cryptographiques en fonction de la demande. Il est différent en fonction qu'on fasse du Workgroup ou du Domain. Mais là on est dans le monde Microsoft.
_________________
A bientôt!... Smile
Le monde préfère un simple mensonge à une vérité complexe.
J'ai fait une "bourde" d'interprétation. Mea Culpa.
eDirectory stocke les mots de passe de type "Simple password" de façon cryptée en DES ou triple DES (sûurement relatif à la version de Netware adaptée au droit en vigueur dans chaque pays). La référence qui est faîte au sujet des hashages SHA-1 et MD5 ou mot de passe en clair, n'est pas lié à la transmission comme je l'ai évoqué plus haut, mais c'est le format du mot de passe récupéré dans le cas d'une migration de Sun Java directory server vers eDirectory. eDirectory prend ce mot de passe crypté ou non et lui applique par dessus son DES ou triple DES.
En raison du niveau de sécurité de SHA-1 et de MD5, je doute que eDirectory soit capable de les exploiter quand on est sur un serveur Netware. En fait je pense que ce qui a été exprimé dans l'appnote c'est le cas particulier d'un serveur Sun Solaris par ex. avec les services SaMBa et une authentification locale avec le support de Sun Java directory server. Novell se propose d'installer eDirectory comme base annuaire en lieu et place de Sun Java directory server, réexploitant les services cryptographiques locaux pour SHA-1 et MD5 ou sans si aucune précaution n'est prise à ce niveau pour desservir les besoins du serveur SaMBa local "ni vu, ni connu".
Donc pour revenir à ta question initiale, hors aspect stockage que nous avons déjà évoqué, les échanges de mot de passe entre poste Windows (sans client Novell ou NMAS) et services CIFS sur Netware se font de différentes manières: mode local ou mode domaine. Le premier correspond à du SMB en mode "workgroup" et le second c'est du SMB en mode 'domain" soit en reconduisant la paire identifiant/mot de passe vers un PDC Microsoft, soit en émulant un PDC localement.
Du descriptif que j'ai relu dans la doc novell, je tire la conclusion qu'on a toute les contraintes d'un serveur SaMBa (de toute évidence ce n'est qu'un portage). Donc le transport du mot de passe exploite les possibilités offertes par le protocole SMB. Il faut activer la demande de signature des paquets échangés pour l'authentification, côté serveur. Donc sur la console serveur NW6.5 après avoir installé et activé CIFS, il faut taper "cifs signatures enable" et pour que cela s'impose à l'utilisateur faire suivre d'un "cifs signatures mandatory". Ceci est réversible avec un "cifs signatures optional", puis un "cifs signatures disable". Le poste exploite ses moyens cryptographiques en fonction de la demande. Il est différent en fonction qu'on fasse du Workgroup ou du Domain. Mais là on est dans le monde Microsoft.
_________________
A bientôt!... Smile
Le monde préfère un simple mensonge à une vérité complexe.
-
julientsc
Re: Sécurité du Simple Password
Posté le: Mar Mar 21, 2006 10:14 am
Merci beaucoup jml-61.
C'est exactement ce que je cherchais à savoir, et que je n'arrivais pas à mettre la main dessus Smile
Vraiment je trouve ce forum trop génial, BRAVO.
Merci beaucoup jml-61.
C'est exactement ce que je cherchais à savoir, et que je n'arrivais pas à mettre la main dessus Smile
Vraiment je trouve ce forum trop génial, BRAVO.
Who is online
Users browsing this forum: No registered users and 0 guests