Всем привет.
У нас у битрикс-24-коробка настроена работа с AD и NTLM авторизация.
Настраивали через ./menu.sh
Там при настройке указывается название домена, домен-контроллер и так же - учетная запись с правами доменного администратора (или там не нужен домен-админ...?)
И обнаружилось, что пароль и логин этой доменной четной записи, которая используется при настройки NTLM, битрикс хранит в открытом виде в папке /opt/webdir/generator/ в файликах типа eOEivxfYzlJb93aqP4pA
Вот такое содержимое:
# Ansible managed
# NTLM_USER
<ADUser>
# NTLM_PASSWORD
<ADUserPassword>
# NTLM_DPS
<domain.controller.name>
# NTLM_DNF
<DOMAIN.NAME>
(соотв. то, что в <> - это реальные данные и пароль - открытая строка)
Сам файлик доступен только для рута, но это сутине меняет: хранение пароля в открытом виде - эот какбы совсем не безопасно и на наш взгляд довольно серьезная проблемой безопасности.
Вопрос: нужен ли этот файлик (верне - инфа в нем) после настройки NTLM (то есть - юзает ли битрикс ее потом или его можно бузопасно удалить ?
Ну и вопрос к разработчикам: что мешает сделать хранение пароля в хеше ?
Спасибо.
У нас у битрикс-24-коробка настроена работа с AD и NTLM авторизация.
Настраивали через ./menu.sh
Там при настройке указывается название домена, домен-контроллер и так же - учетная запись с правами доменного администратора (или там не нужен домен-админ...?)
И обнаружилось, что пароль и логин этой доменной четной записи, которая используется при настройки NTLM, битрикс хранит в открытом виде в папке /opt/webdir/generator/ в файликах типа eOEivxfYzlJb93aqP4pA
Вот такое содержимое:
# Ansible managed
# NTLM_USER
<ADUser>
# NTLM_PASSWORD
<ADUserPassword>
# NTLM_DPS
<domain.controller.name>
# NTLM_DNF
<DOMAIN.NAME>
(соотв. то, что в <> - это реальные данные и пароль - открытая строка)
Сам файлик доступен только для рута, но это сутине меняет: хранение пароля в открытом виде - эот какбы совсем не безопасно и на наш взгляд довольно серьезная проблемой безопасности.
Вопрос: нужен ли этот файлик (верне - инфа в нем) после настройки NTLM (то есть - юзает ли битрикс ее потом или его можно бузопасно удалить ?
Ну и вопрос к разработчикам: что мешает сделать хранение пароля в хеше ?
Спасибо.