[TYPO3-german] Nutzerdaten importieren von Admidio, Passworte mit crypt_blowfish, saltedpasswords, rsaauth

Christoph Holtermann c.holtermann at gmx.de
Sat Jul 22 16:15:19 CEST 2017 

Hallo,

ich habe angefangen, das Problem in einer Extension zu lösen:

https://github.com/c-holtermann/extrasalt
https://typo3.org/extensions/repository/view/extrasalt

Mittlerweile habe ich begriffen, daß die extension salted passwords
in den 6.2er Versionen Hashes beginnend mit $2a$ akzeptiert. Der
Präfix $2y$ entspricht einer Änderung, die mit php 5.3.7 eingeführt
wurde, so daß php's crypt nun $2a$, $2x$ und $2y$ für blowfish kennt.

http://www.php.net/security/crypt_blowfish.php

Wahrscheinlich hat daher früher der Import funktioniert und nun nicht
mehr. Eigentlich wäre sinnvoller, daß saltedpasswords auch die neuen
Hashes erkennt. Möglicherweise ist das für die aktuellen Typo3 Versionen
auch der Fall, das würde ich als nächstes prüfen.

herzlichen Gruß,

Christoph Holtermann


Am 2017-07-10 19:28, schrieb Christoph Holtermann:
> Hallo allerseits,
> 
> Ich versuche, Nutzerdaten von Admidio in Typo3 als Frontendnutzer zu
> importieren. Ich nutze dazu external_import.
> Das hatte vor einiger Zeit auch schon gut funktioniert, war
> zwischenzeitlich nicht aktiv und mittlerweile geht
> es nicht mehr mit meinen ursprünglichen Settings.
> 
> Bei Admidio habe ich auf folgender Bugbeschreibung
> (https://github.com/Admidio/admidio/issues/89) die Passworthashing-
> methoden beschrieben gefunden. In der Datenbank finde ich Feldinhalte,
> die mit $2y$ beginnen,
> 
> "$2y$ is the secure impl. of crypt_blowfish" heißt es in o.g. 
> Bugreport.
> 
> $2y$10$OZ6LM4H5fnuhywRZDJF09eZLVU0dalBP6H.zPM84288nPx0Gr0XI2 wäre der
> Hash vom Passwort "tofuwurst".
> 
> Direkt importiert führt das nicht zum Loginerfolg. Im devlog finde ich
> 
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication ## Beginning 
> of
> auth logging.
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Login type: FE
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Login data
> before processing: status: login; uname: hans.wurst; uident:
> rsa:BLAI+fGBJeAAxOnE...; chalvalue:;
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Processed 
> login
> data: status: login; uname: hans.wurst; uident: 
> rsa:BLAI+fGBJeAAxOnE...;
> chalvalue:; uident_text: tofuwurst; uident_challenged: 130a3b61f
> 6261a36ff4b...; uident_superchallenged: 85fbcf974b22f48df633...;
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Login data:
> status: login; uname: hans.wurst; uident: rsa:BLAI+fGBJeAAxOnE...;
> chalvalue:; uident_text: tofuwurst; uident_challenged:
> 130a3b61f6261a36ff4
> b...; uident_superchallenged: 85fbcf974b22f48df633...; permanent: 0;
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Active login
> (eg. with login form)
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication logoff: ses_id
> = eb63641a5eec031ceca4dd464c7df76b
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Fetch session
> ses_id = eb63641a5eec031ceca4dd464c7df76b
> 17-07-10 19:10:00 WARNING
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication No user 
> session
> found.
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication SV setup:
> BE_alwaysFetchUser: 1;
> 17-07-10 19:10:00 INFO     TYPO3\CMS\Sv\AuthenticationService User
> found: uid: 8161; username: hans.wurst;
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication User found:
> uid: 8161; username: hans.wurst;
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication getUserFE auth
> services called: ,TYPO3\CMS\Sv\AuthenticationService
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication 1 user records
> found by services
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Auth user: 
> uid:
> 8161; pid: 207; tstamp: 1499648402; username: hans.wurst; password:
> $P$CSYA0Mm/MBaC.I6F7...; usergroup: 301,335; disable: 0; starttime: 0
> ; endtime: 0; name: hans.wurst; address:; telephone:; fax:; email:
> hans.wurst at jungmediz...; crdate: 1383843537; cruser_id: 5;
> lockToDomain:; deleted: 0; uc: N;; title: Dr.; zip:; city:; country:
> DEU; www:; company:; image:; TSconfig:; fe_cruser_id: 0; lastlogin:
> 1499630293; is_online: 1499630293; tx_cal_calendar:;
> tx_cal_calendar_subscription:; tx_extbase_type: 0; first_name: Hans;
> middle_name:; last_name: Wurst; tx_odsosm_lon: 0.000000; tx_odsosm_lat:
> 0.000000; felogin_redirectPid:; felogin_forgotHash:;
> tx_externalimporttut_code:; tx_externalimporttut_department:;
> tx_externalimporttut_holidays: 0; module_sys_dmail_newsletter: 0;
> module_sys_dmail_category: 0; module_sys_dmail_html: 0;
> tx_admidio_user_id: 655; tx_oelib_is_dummy_record: 0;
> tx_chext_kommentar_intern:; tx_chext_kommentar:;
> tx_chadmidiobridge_tagungsbeitrag:; tx_phpunit_is_dummy_record: 0;
> 
> 
> 17-07-10 19:10:00 NOTICE   saltedpasswords      FE Authentication 
> failed
> - wrong password for username 'hans.wurst'
> 
> 
> 17-07-10 19:10:00 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication authUserFE 
> auth
> services called: ,TYPO3\CMS\Saltedpasswords\SaltedPasswordService
> 
> 17-07-10 19:10:00 WARNING
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Login failed:
> uid: 8161; username: hans.wurst;
> 
> 17-07-10 19:10:00 OK
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Call
> checkLogFailures: warningEmail:; warningPeriod: 3600; warningMax: 3;
> 
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication ## Beginning 
> of
> auth logging.
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Login type: BE
> 
>                                                                 
> 17-07-10
> 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Login data:
> status:; uname:; uident:; chalvalue:;
> 
> 17-07-10 19:10:05 WARNING
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication No user 
> session
> found.
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication SV setup:
> BE_alwaysFetchUser: 1;
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication
> BE_alwaysFetchUser option is enabled
> 
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication getUserBE auth
> services called: ,tx_crawler_auth,TYPO3\CMS\Sv\AuthenticationService
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication No user found
> by services
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Core\Authentication\AbstractUserAuthentication Set Cookie:
> 2fcd0bcaab364f0fd9b071a3525572bf
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Frontend\Authentication\FrontendUserAuthentication Get
> usergroups for "anonymous" user
> 
> 17-07-10 19:10:05 WARNING  TYPO3\CMS\Sv\AuthenticationService No
> usergroups found.
> 
>                           17-07-10 19:10:05 INFO
> TYPO3\CMS\Frontend\Authentication\FrontendUserAuthentication 
> getGroupsFE
> auth services called: ,TYPO3\CMS\Sv\AuthenticationService
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Frontend\Authentication\FrontendUserAuthentication No
> usergroups found by services
> 
> 
> 17-07-10 19:10:05 INFO
> TYPO3\CMS\Frontend\Controller\TypoScriptFrontendController Valid
> usergroups for TSFE: 0,-1
> 
> Die extension saltedpasswords durchgeschaut bin ich auf die drei
> möglichen Hashingmethoden gestoßen.
> Classes/Salt/BlowfishSalt.php, Md5Salt.php und PhpassSalt.php. Es
> scheint mir, als sei die Hashingmethode crypt_blowfish nicht
> darunter und daß es notwendig wäre, eine eigene salting method zu
> schreiben gemäß
> https://docs.typo3.org/typo3cms/extensions/saltedpasswords/6.2/DevelopersGuide/Index.html.
> 
> 
> Bevor ich mich daran mache, würde ich gerne wissen, ob das vielleicht
> schon jemand anders getan hat, oder ob es eine einfachere Lösung
> gibt.
> 
> Ich nutze saltedpasswords, rsaauth und felogin.
> 
> herzlichen Gruß,
> 
> Christoph Holtermann
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

More information about the TYPO3-german mailing list