プロジェクト

全般

プロフィール

QA #260

奈良 裕記 さんが4年以上前に更新

h3. ■現象/要望 

 RedmineのLDAP/SCM認証用パスワードをDB上で参照不可としたい 

 Redmineでは、LDAPによるユーザ認証/SCM連携のための認証機能があるが、 
 標準設定では、この認証用パスワードがDB上に非暗号化状態で保存されており、ダンプすれば丸見えの状態である。 
 (LDAPの認証用アカウント、SCM接続時のアカウントのパスワードのこと) 

 無期限の特権付管理用アカウントを利用している場合もあり、 
 パスワードはユーザには非公開とすべき内容。 

 adminが全て管理している場合は問題にならないが、 
 ユーザ側にコンソールアクセス権限を渡す場合は問題になる。 

 h3. ■解決策 

 Redmine上に、DB保存パスワードを暗号化して保存する機能がある。 
 この機能を利用することで、DB上のダンプからは認証用パスワードを取得できなくなる。 

 設定方法 
 configuration.ymlに 
 database_cipher_key: **********    の行を追加し再起動 


 関連記事 
 configuration.yml によるRedmineの設定 
 http://blog.redmine.jp/articles/configuration_yml/ 

 【重要!】Redmineの設定で「LDAP認証」が暗号化されていない件 
 http://a1-style.net/redmine/ldap-security-password/ 


 h3. ■対応状況 

 標準対応済(Option設定状態であり、周知できているかは疑問) 

 h3. ■補足 

 現状、鍵が一緒に漏れれば解読できる筈です。 

 redmine.repositories & redmine.auth_sources passwords are not hashed 
 http://www.redmine.org/issues/18976 
 > These passwords can't be hashed (Redmine needs to retrieve them in ordre to authenticate against LDAP or repositories).  
 > But they can be encrypted, please see database_cipher_key in your configuration.yml 

 Enable encrypted LDAP passwords with Redmine.pm 
 http://www.redmine.org/issues/17368 

 Encrypting LDAP/Repos passwords on the database prevent LDAP Authentification on Repos/Apache from working 
 http://www.redmine.org/issues/10963 


 !https://unofficial-redmine.org/matomo/matomo.php?idsite=1&rec=1! 

戻る