QA #260
未完了
RedmineのLDAP/SCM認証用パスワードをDB上で参照不可としたい
0%
説明
■現象/要望¶
RedmineのLDAP/SCM認証用パスワードをDB上で参照不可としたい
Redmineでは、LDAPによるユーザ認証/SCM連携のための認証機能があるが、
標準設定では、この認証用パスワードがDB上に非暗号化状態で保存されており、ダンプすれば丸見えの状態である。
(LDAPの認証用アカウント、SCM接続時のアカウントのパスワードのこと)
無期限の特権付管理用アカウントを利用している場合もあり、
パスワードはユーザには非公開とすべき内容。
adminが全て管理している場合は問題にならないが、
ユーザ側にコンソールアクセス権限を渡す場合は問題になる。
■解決策¶
Redmine上に、DB保存パスワードを暗号化して保存する機能がある。
この機能を利用することで、DB上のダンプからは認証用パスワードを取得できなくなる。
設定方法
configuration.ymlに
database_cipher_key: **** の行を追加し再起動
関連記事
configuration.yml によるRedmineの設定
http://blog.redmine.jp/articles/configuration_yml/
【重要!】Redmineの設定で「LDAP認証」が暗号化されていない件
http://a1-style.net/redmine/ldap-security-password/
■対応状況¶
標準対応済(Option設定状態であり、周知できているかは疑問)
■補足¶
現状、鍵が一緒に漏れれば解読できる筈です。
redmine.repositories & redmine.auth_sources passwords are not hashed
http://www.redmine.org/issues/18976
These passwords can't be hashed (Redmine needs to retrieve them in ordre to authenticate against LDAP or repositories).
But they can be encrypted, please see database_cipher_key in your configuration.yml
Enable encrypted LDAP passwords with Redmine.pm
http://www.redmine.org/issues/17368
Encrypting LDAP/Repos passwords on the database prevent LDAP Authentification on Repos/Apache from working
http://www.redmine.org/issues/10963
