Login

[Quicktip] Symfony2 Authentifizierung mittels Entity Provider und sha512 Encoder = Bad Credentials

In der sehr guten Symfony2 Doku gibt es natürlich trotzdem die eine oder andere Falltür – ein gutes Beispiel hierfür ist der so halb dokumentierte Fall, dass man User mittels Datenbank anbinden und ihre Passwörter mittels sha-512 encoden möchte.

In der entsprechenden Doku wird im User Model für die Property $password eine Stringlänge von 40 Zeichen angegeben. Das passt auch ganz gut für MD5 oder sha1, aber eben nicht für sha-512. Die Folge: man bekommt nur ein läppisches “Bad Credentials” präsentiert, weil das Passwort in der DB abgeschnitten wird.

Die Zeichenlänge für sha-512 sollte aber deutlich länger sein – 128 ist der sinnvolle Wert. Wer das warum wissen möchte:

512 bits / 8 bits pro byte * 2 hex digits pro byte = 128 hex digits

Confluence mit dem Synology Verzeichnisdienst / LDAP verbinden

Neben des internen einfachen Login Mechanismus kann man Confluence auch beibringen, die Anmeldung per LDAP zu erlauben. Leider ist die Anbindung nicht ganz offensichtlich gestaltet, daher möchte ich die wichtigsten Parameter hier mal aufzählen – in der Hoffnung, dass der nächste arme Operator nicht die gleichen Qualen wie ich erleiden muss:

Im Adminbereich wählt man unter “Benutzer & Sicherheit” den Punkt Benutzerverzeichnisse. Dort fügt man ein neues Verzeichnis mit folgenden Daten hinzu (ich beschränke mich mal auf die nicht so offensichtlichen Punkte):

Servereinstellungen
Verzeichnistyp: OpenLDAP (Read-Only Posix Schema)
Benutzername: [Bind-DN] (findet man im Synology Backend in der Verzeichnisdienstübersicht, z.B.: “uid=root,cn=users,dc=nas,dc=local”)

LDAP Schema
Basis-DN: [Basis-DN] (findet man im Synology Backend in der Verzeichnisdienstübersicht, z.B.: “dc=nas,dc=me-intranet”)

LDAP Berechtigungen
Schreibgeschützt bei lokalen Gruppen (diese Einstellung macht Sinn, damit man LDAP User den vorhandenen Gruppen wie z.B. Confluence-admin hinzufügen kann)

Einstellungen des Benutzerschemas
Benutzer-Objektklasse: inetorgperson
Benutzer-Objektfilter: (uid=*)
Attribut “Benutzername”: uid
Attribut “Benutzername RDN”: cn
Attribut “Vorname des Benutzers”: givenName
Attribut “Nachname des Benutzers”: sn
Attribut “Benutzer-Anzeigename”: displayName
Attribut “Benutzer-E-Mail”: mail
Attribut “Benutzerpasswort”: userpassword
Verschlüsselung des Benutzer-Passworts: SHA

Einstellungen für Gruppenschema
Gruppenobjektklasse: posixgroup
Gruppenobjektfilter: (objectClass=posixGroup)
Attribut “Gruppenname”: cn
Attribut “Gruppenbeschreibung”: displayName

Einstellungen für Mitgliedschaftsschema
Attribut “Gruppenmitglied”: memberUid
Attribut “Benutzer-Mitgliedschaft”: gidNumber

Anschließend kann man mittels “speichern und testen” das ganze ausprobieren. Lasst euch nicht verunsichern, dass beim Test direkt ein Fehler auftritt, was normal ist. Ihr müsst erst noch in die entsprechenden Textfelder gültige LDAP Login Daten eintragen und anschließend nochmal auf “Testeinstellungen” klicken. Nun sollten alle Testfelder grün sein. Anschließdn geht ihr per “Zurück zur Verzeichnisliste” zurück und klickt auf “Synchronisieren”. Anschließend werden die Nutzer und Gruppen aus dem LDAP gezogen und sind in Confluence verfügbar.

Unter “Globale Berechtigungen” müsst ihr nun noch die Gruppen definieren, die auf die Confluence Daten zugreifen dürfen. Nur die Mitglieder der hier vermerkten Gruppen haben Zugriff auf Confluence, und auch nur DIESE Mitglieder werden für die maximale Nutzerzahl eurer Lizenz beachtet!

Soundcloud – beim Login über Facebook angemeldet bleiben

Soundcloud rockt. Und super ist auch, dass man sich über Facebook einloggen kann. Das Problem: jeden Tag muss man dies auf’s neue wiederholen. Da mich das ziemlich genervt hat, habe ich kurzerhand den Support kontaktiert und da wurde mir eine sehr einfache Lösung präsentiert:

Man besucht folgenden Link:

http://soundcloud.com/login/forgot

Anschließend gibt man die gleiche Email-Adresse an, mit der man sich auch bei Facebook anmeldet. Wenn ihr gerade bei Soundcloud eingeloggt seid, sollte die entsprechende Email-Adresse automatisch eingetragen sein. Lasst euch anschließend den Passwort-Wiederherstellen Link schicken, setzt ein beliebiges Passwort und meldet euch dann damit bei Soundcloud an. An dieser Stelle noch den Haken bei “Remember Me” setzen – und schon bleibt ihr dauerhaft angemeldet. Plus: euer Account bleibt wie gehabt erhalten (Freunde, Favoriten, Tracks usw.).

Sicher ist es nicht die optimalste Lösung, aber besser als nichts 😉