QA #260
奈良 裕記 さんが4年以上前に更新
h3. ■現象/要望
RedmineのLDAP/SCM認証用パスワードをDB上で参照不可としたい
Redmineでは、LDAPによるユーザ認証/SCM連携のための認証機能があるが、
標準設定では、この認証用パスワードがDB上に非暗号化状態で保存されており、ダンプすれば丸見えの状態である。
(LDAPの認証用アカウント、SCM接続時のアカウントのパスワードのこと)
無期限の特権付管理用アカウントを利用している場合もあり、
パスワードはユーザには非公開とすべき内容。
adminが全て管理している場合は問題にならないが、
ユーザ側にコンソールアクセス権限を渡す場合は問題になる。
h3. ■解決策
Redmine上に、DB保存パスワードを暗号化して保存する機能がある。
この機能を利用することで、DB上のダンプからは認証用パスワードを取得できなくなる。
設定方法
configuration.ymlに
database_cipher_key: ********** の行を追加し再起動
関連記事
configuration.yml によるRedmineの設定
http://blog.redmine.jp/articles/configuration_yml/
【重要!】Redmineの設定で「LDAP認証」が暗号化されていない件
http://a1-style.net/redmine/ldap-security-password/
h3. ■対応状況
標準対応済(Option設定状態であり、周知できているかは疑問)
h3. ■補足
現状、鍵が一緒に漏れれば解読できる筈です。
redmine.repositories & redmine.auth_sources passwords are not hashed
http://www.redmine.org/issues/18976
> These passwords can't be hashed (Redmine needs to retrieve them in ordre to authenticate against LDAP or repositories).
> But they can be encrypted, please see database_cipher_key in your configuration.yml
Enable encrypted LDAP passwords with Redmine.pm
http://www.redmine.org/issues/17368
Encrypting LDAP/Repos passwords on the database prevent LDAP Authentification on Repos/Apache from working
http://www.redmine.org/issues/10963
!https://unofficial-redmine.org/matomo/matomo.php?idsite=1&rec=1!
戻る