[50514] in SAPr3-news
Re: ZBV mit LDAP-Anbindung: Passwortsync
daemon@ATHENA.MIT.EDU (Werner Flamme)
Tue Jul 6 03:34:08 2004
To: sapr3-news@mit.edu
Date: Tue, 06 Jul 2004 09:34:04 +0200
From: Werner Flamme <werner.flamme@ufz.de>
Message-ID: <2kv2vcF6jmkkU1@uni-berlin.de>
Christian Zalto schrieb am 05.07.2004 19:17:
>
>>Sobald die ZBV läuft, wird abteilungsweise das Login von SAP und LDAP
>>angepasst. Dann können wir den Leuten noch schlechter verkaufen, warum
>>sie nach einer Passwortänderung im LDAP keine Passwortänderung im SAP
>>haben...
>>
>
> Liesse sich das nicht über eine Applikation abfangen, die das Passwort im
> Klartext entgegennimmt, es aber nirgendwo speichert, sondern direkt an
> an die angeschlossenen Applikationen übergibt?
Wir ändern das Passwort im LDAP über ein Frontend im Intranet. Das ganze
Intranet ist selbstgestrickt, PHP mit Oracle. Ein Bestandteil ist
admin.php, wo man als User seine "persönlichen Daten" (Name, Tel., Fax,
Büronr. usw.) ändern kann. Fast jede Applikation greift zur
Authentifizierung auf das LDAP zurück. Fast - alle außer SAP.
>
> Sowohl LDAP als auch SAP-Passwörter - eigentlich in überhaupt
> keinem System sollten Passwörter im Klartext abrufbar sein.
Schon wahr. Aber man könnte in dem o.a. Intranet-Frontend das Passwort nach
einer Änderung im Klartext in einem "beliebigen" Feld ablegen (und nach 5
Minuten - dem LDAP-SAP-Aktualisierungsintervall wieder löschen). Das Feld
kann speziell für 1 IP-Adresse freigeschaltet werden, so dass die Chance
des Ausspähens gering ist.
>> Gibt es einen FuBa "MACHE_HASH_AUS_KLARTEXT"? ;-)
>
> Nein, gibt's nicht. In früheren SAP Releases war sowas noch machbar,
> prompt gab es die ersten ABAPs für Brute Force Dictionary Attacks
> und SAP hat das System dicht gemacht.
Habe ich befürchtet ;-)
...saacht \/\/erner
