Sortir userPassword d'un ldap avec ldapsearch
Bonjour,
J'aimerais extraire le mot de passe d'un ldap openldap.
Est-ce possible avec ldapsearch ?
J'ai essayé avec
Mais il ne me retourne que les données des utilisateurs, mais pas leur mot de passe
(ça me donne:
dn: uid=user1,ou=...,ou=...,dc=...,dc=...
dn: uid=user2,ou=...,ou=...,dc=...,dc=...
)
Merci.
JD
J'aimerais extraire le mot de passe d'un ldap openldap.
Est-ce possible avec ldapsearch ?
J'ai essayé avec
ldapsearch -LLL -x -Z -H ldap://<monldap> -b "ou=...,ou=...,dc=...,dc=..." userPassword
Mais il ne me retourne que les données des utilisateurs, mais pas leur mot de passe
(ça me donne:
dn: uid=user1,ou=...,ou=...,dc=...,dc=...
dn: uid=user2,ou=...,ou=...,dc=...,dc=...
)
Merci.
JD
A voir également:
- Sortir userPassword d'un ldap avec ldapsearch
- Comment sortir une application d'utilitaire - Guide
- Comment sortir une application d'un dossier - Accueil - Guide Android
- Client ldap windows - Télécharger - Édition & Programmation
- Comment sortir du mode sans echec ps4 - Guide
- Remettre un pc en sortie d'usine - Guide
3 réponses
C'est limite hors charte car ça peut être détourné à de mauvaise fins si c'est possible. Et à mon avis ça ne l'est pas, car ldap stocke des mots de passe chiffrés.
De plus il paraîtrait "gros" qu'un client ldap quelconque permette d'avoir ce genre d'informations, car ce serait un trou de sécurité : on pourrait en effet alors imaginer qu'un utilisateur tente de récupérer le mot de passe d'autres utilisateurs si c'était possible.
Ceci dit je ne suis pas spécialiste de ldap donc je suis peut-être à côté de la plaque...
De plus il paraîtrait "gros" qu'un client ldap quelconque permette d'avoir ce genre d'informations, car ce serait un trou de sécurité : on pourrait en effet alors imaginer qu'un utilisateur tente de récupérer le mot de passe d'autres utilisateurs si c'était possible.
Ceci dit je ne suis pas spécialiste de ldap donc je suis peut-être à côté de la plaque...
Merci pour ta réponse mamiemando.
Oui désolé ça peut paraître limite présenter comme ça.
Je pensais qu'il y avait p-e une commande qui pouvait le faire en demandant le mot de passe de l'administrateur du ldap pour y accéder.
Sinon on m'a plutôt conseiller de créer un nouveau mot de passe pour chaque user tiré du ldap
JD
Oui désolé ça peut paraître limite présenter comme ça.
Je pensais qu'il y avait p-e une commande qui pouvait le faire en demandant le mot de passe de l'administrateur du ldap pour y accéder.
Sinon on m'a plutôt conseiller de créer un nouveau mot de passe pour chaque user tiré du ldap
JD
Franchement (même si je peux me tromper), ça m'étonnerait. Linux ne donne jamais de mot de passe, il permet au mieux de le faire sauter ou de le contourner (sous réserve d'avoir des droits administrateurs), mais pas plus.
C'est lié à des raisons de sécurité (par exemple on peut imaginer qu'un administrateur un peu boulet utilise le même mot de passe partout, et que si ldap soit piraté, extraire les mots de passe permette d'attaquer d'autres serveurs), mais aussi simplement au fait que les mots de passe sont généralement stockés avec des algorithmes de chiffrement asymétriques.
Si on appelle f cette fonction de chiffrement et x le mot de passe, l'application stocke f(x). Quand tu t'authentifies avec un mot de passe x', l'application regarde si f(x) = f(x'). Si oui l'accès est autorisé, et sinon il est refusé. Mais la magie de la cryptographie fait que calculer x à partir de f(x) prendrait un temps excessivement long, ce qui rend le système sûr. Évidemment si le mot de passe est trivial (ou si tu es dans une série américaine), on peut arriver à casser le mot de passe ;-) Mais on va dire que si tu fais le travail sérieusement ce n'est pas sensé arriver.
Pour finir sur LDAP, c'est je trouve quelque chose de complexe à utiliser. Mes connaissances à son sujet sont limitées. Je pense que le mieux c'est de lire des tutoriels à ce sujet pour approfondir tes connaissances dans le domaine. J'aime bien celui-ci, même s'il ne répond pas forcément à la question :
http://web.archive.org/web/*/https://debian-administration.org/article/585/OpenLDAP_installation_on_Debian
Bonne chance
C'est lié à des raisons de sécurité (par exemple on peut imaginer qu'un administrateur un peu boulet utilise le même mot de passe partout, et que si ldap soit piraté, extraire les mots de passe permette d'attaquer d'autres serveurs), mais aussi simplement au fait que les mots de passe sont généralement stockés avec des algorithmes de chiffrement asymétriques.
Si on appelle f cette fonction de chiffrement et x le mot de passe, l'application stocke f(x). Quand tu t'authentifies avec un mot de passe x', l'application regarde si f(x) = f(x'). Si oui l'accès est autorisé, et sinon il est refusé. Mais la magie de la cryptographie fait que calculer x à partir de f(x) prendrait un temps excessivement long, ce qui rend le système sûr. Évidemment si le mot de passe est trivial (ou si tu es dans une série américaine), on peut arriver à casser le mot de passe ;-) Mais on va dire que si tu fais le travail sérieusement ce n'est pas sensé arriver.
Pour finir sur LDAP, c'est je trouve quelque chose de complexe à utiliser. Mes connaissances à son sujet sont limitées. Je pense que le mieux c'est de lire des tutoriels à ce sujet pour approfondir tes connaissances dans le domaine. J'aime bien celui-ci, même s'il ne répond pas forcément à la question :
http://web.archive.org/web/*/https://debian-administration.org/article/585/OpenLDAP_installation_on_Debian
Bonne chance
