redmine.tokyo » Unofficial Redmine Cooking

■現象/要望¶

RedmineのLDAP/SCM認証用パスワードをDB上で参照不可としたい

Redmineでは、LDAPによるユーザ認証/SCM連携のための認証機能があるが、
標準設定では、この認証用パスワードがDB上に非暗号化状態で保存されており、ダンプすれば丸見えの状態である。
（LDAPの認証用アカウント、SCM接続時のアカウントのパスワードのこと）

無期限の特権付管理用アカウントを利用している場合もあり、
パスワードはユーザには非公開とすべき内容。

adminが全て管理している場合は問題にならないが、
ユーザ側にコンソールアクセス権限を渡す場合は問題になる。

■解決策¶

Redmine上に、DB保存パスワードを暗号化して保存する機能がある。
この機能を利用することで、DB上のダンプからは認証用パスワードを取得できなくなる。

設定方法
configuration.ymlに
database_cipher_key: **** の行を追加し再起動

関連記事
configuration.yml によるRedmineの設定
http://blog.redmine.jp/articles/configuration_yml/

【重要！】Redmineの設定で「LDAP認証」が暗号化されていない件
http://a1-style.net/redmine/ldap-security-password/

■対応状況¶

標準対応済(Option設定状態であり、周知できているかは疑問）

■補足¶

現状、鍵が一緒に漏れれば解読できる筈です。

redmine.repositories & redmine.auth_sources passwords are not hashed
http://www.redmine.org/issues/18976

These passwords can't be hashed (Redmine needs to retrieve them in ordre to authenticate against LDAP or repositories).
But they can be encrypted, please see database_cipher_key in your configuration.yml

Enable encrypted LDAP passwords with Redmine.pm
http://www.redmine.org/issues/17368

Encrypting LDAP/Repos passwords on the database prevent LDAP Authentification on Repos/Apache from working
http://www.redmine.org/issues/10963