LDAP - Crypter mot de passe dans fichier conf.php

Installer mon Dolibarr
,
1

Bonjour.

Je cherche à crypter le mot de passe LDAP du fichier conf.php (paramètre : $dolibarr_main_auth_ldap_admin_pass=‹ YourPassword ›)

Il est possible pour le mot de passe de la BDD de le crypter dans les paramètres de Dolibarr, mais pas pour le mot de passe LDAP.

Si vous avez une solution, ou un début, je suis preneur.

Salut.

2

Bonjour,

Il faut avoir conscience que le cryptage du mot de passe de la BDD dans le conf.php n’est pas un véritable chiffrement, mais plutôt un encodage qui ne protège pas contre un pirate qui aurait récupéré le fichier (ça le ralentit tout au plus), mais qui protège efficacement contre un regard indiscret par dessus l’épaule d’une personne qui aurait ouvert le fichier.

En réalité, quand un mot de passe est entré de manière automatique par un programme (sans intervention humaine), la sécurité de cette authentification dépend essentiellement de la sécurité d’accès au fichier où est stocké le moyen d’authentification (que ce soit un mot de passe, une clé privée ou tout autre moyen).

Il vaut donc mieux investir du temps pour sécuriser son serveur apache (ou nginx ou autre) plutôt que de faire confiance uniquement à la « securité par l’obscurité » (c’est à dire, dans ce cas précis, des manières compliquées mais parfaitement réversibles d’encoder le mot de passe).

Dans l’idéal, un petit grain de « sécurité par l’obscurité » est utile (contre les regards indiscrets), mais ne sert à rien si un pirate a accès en lecture au système de fichier du serveur ou s’il se procure une copie du fichier.

Pour implémenter ce petit grain, le conf.php étant un fichier php comme un autre, tu pourrais très bien mettre une fonction d’obscurcissement simple (comme rot13, mais de préférence quelque chose d’un tout petit peu moins transparent) qui évite de l’afficher en clair :

$dolibarr_main_auth_ldap_admin_pass=str_rot13('zba-zbg.qr+cnffr/pbzcyvdhé');

au lieu de

$dolibarr_main_auth_ldap_admin_pass=str_rot13('mon-mot.de+passe/compliqué');

Je préfère insister sur le fait que ça n’apporte aucune sécurité supplémentaire, sauf contre quelqu’un qui le verrait par accident avec ses yeux, sans aucun moyen de capturer l’image ou le texte.

3

Bonjour.

Merci pour ces explications, je n’avais pas vu cela sous cet angle, même si je m’occupe en parallèle de faire sécuriser notre serveur par notre prestataire (ce qui est plus dur à maitriser :slight_smile: )

Salut.