Koozali.org: home of the SME Server

7.3 Passwordstrength - wird nicht übernommen

Offline [Crusher]

  • 2
  • +0/-0
7.3 Passwordstrength - wird nicht übernommen
« on: February 14, 2008, 10:00:20 AM »
Hi,

brauch für Testumgebung einfache Passwords. Also gesucht und auf setprop gestossen. Hab users und ibays auf "none" gestellt. Ergebnis:

Code: [Select]
[root@smelabp ~]# db configuration show  passwordstrength
passwordstrength=configuration
    Admin=strong
    Ibays=none
    Users=none

Funzt aber nach wie vor nicht! Was hab ich übersehen? Nach reboot auch keine Änderung.

mfg Crusher

Offline michaXXL

  • ****
  • 186
  • +0/-0
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #1 on: February 14, 2008, 10:22:58 AM »
Ich habe ähnliche Erfahrungen gemacht.
Die Mindestlänge der Passworteingabe bleibt 7 Zeichen. Darunter geht nicht.
Gruß Michael

Offline [Crusher]

  • 2
  • +0/-0
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #2 on: February 14, 2008, 11:07:11 AM »
thx, das funzt.

Hab aber mal gelesen bei strong=7, normal=6 und bei none würde das wegfallen.

Kann man die Länge auch noch irgendwie enistellen. Also config Datei ändern? Ist so schon angenehmer, aber etwas mühselig bei nem Testsystem.

mfg Crusher

Offline michaXXL

  • ****
  • 186
  • +0/-0
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #3 on: February 14, 2008, 11:22:09 AM »
Quote
Kann man die Länge auch noch irgendwie einstellen. Also config Datei ändern?
Mir ist nichts bekannt. Diese Beschränkung scheint ein neues Sicherheits-Feature von der 7.3er Version zu sein.
Das betrifft nur die Passwortlänge. Besondere Zeichen werden bei "none" nicht erwartet.
Gruß Michael

Offline CharlesT

  • ***
  • 143
  • +0/-0
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #4 on: February 14, 2008, 11:46:02 AM »
Ist so schon angenehmer, aber etwas mühselig bei nem Testsystem.
Beim Admin/Root geht aber schon kürzer. Diese Einstellung machst du ja beim Installieren. Vielleicht sehe ich das Problem nicht, aber Crusher hat doch auch 7 Buchstaben....

Offline cactus

  • *
  • 4,880
  • +3/-0
    • http://www.snetram.nl
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #5 on: February 14, 2008, 12:15:53 PM »
Beim Admin/Root geht aber schon kürzer. Diese Einstellung machst du ja beim Installieren. Vielleicht sehe ich das Problem nicht, aber Crusher hat doch auch 7 Buchstaben....
Das Problem ist das die PAM Modulen ein Mimimum von 6 buchstaben brauchen, warum die Developer SME Server entschieden haben das Minimum 7 zu machen weiss ich leider nicht...
Be careful whose advice you buy, but be patient with those who supply it. Advice is a form of nostalgia, dispensing it is a way of fishing the past from the disposal, wiping it off, painting over the ugly parts and recycling it for more than its worth ~ Baz Luhrmann - Everybody's Free (To Wear Sunscreen)

Offline stefan24

  • ****
  • 483
  • +0/-0
    • www.sme-server.de
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #6 on: February 15, 2008, 06:46:57 PM »
Dem Admin reicht bei der Neuinstallation eines SME 7.3 auch ein Passwort mit 3 Buchstaben und bestehende Benutzer einer früheren SME 7.x Installation haben auch kürzere Passwörter. Erst, wenn man eines ändern möchte, gilt die neue Regel.

Irgendwie verstehe ich die Logik nicht und ja, mich nervt die neue Mindestlänge auch.

Offline yythoss

  • *
  • 532
  • +0/-0
    • http://www.hylafax-client.de
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #7 on: September 04, 2008, 01:30:53 AM »
Ich habe mich diesem Problem nun annehmen müssen, da ein Kunde einfache und kurze Passwörter gebraucht hat.
Das Problem liegt in folgender Datei:

Code: [Select]
/usr/lib/perl5/site_perl/esmith/FormMagick.pm
dort die Zeile 798 anpassen.

Code: [Select]
return $fm->localise("Passwords must be at least 7 characters long") unless (length($pass) > 6);
Die 6 am Ende ist entscheidet. Alles was größer als 6 Zeichen ist, rutsch durch.

yythoss


Offline stefan24

  • ****
  • 483
  • +0/-0
    • www.sme-server.de
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #8 on: September 04, 2008, 09:14:12 AM »
Hallo yythoss,

ich habe im Hinterkopf, dass die Passwortlänge an verschiedenen Stellen abgefragt wird, wo sie geändert werden (z.B. im user-manager). Hast Du das alles getestet?
Klappt mit Deinem Trick auch ein leeres Passwort oder zumindest eines mit 2 oder 3 Zeichen?

Offline yythoss

  • *
  • 532
  • +0/-0
    • http://www.hylafax-client.de
Re: 7.3 Passwordstrength - wird nicht übernommen
« Reply #9 on: September 04, 2008, 09:43:15 AM »
Ich habe nur über den Server-Manager User angelegt (bzw. der Kunde macht das so).
Mit dem Server-Manager war das mit meiner Änderung möglich.
Ob leere Passwörter gehen habe ich nicht getestet.
Man darf das Ganze auch nicht mit Passwordstrength verwechseln. Die Prodzedur mit Users none ist nach wie vor erforderlich. Dort wird zuerst geprüft, welche Zeichen verwendet werden, erst danach wird die Länge zusätzlich geprüft.

yythoss