[Frage] Einflussnahme auf Typo3 Passwordinterpretation / Zusammenarbeit mit IPB-Datenbank

  • sorros sorros
    Jar Jar Binks
    0 x
    1 Beiträge
    0 Hilfreiche Beiträge
    15. 08. 2013, 20:45

    Guten Abend zusammen,
    ich benutze Typo3 erst seit kurzem und habe dank vieler Artikel hier schon so einige Probleme gelöst. Doch nun bin ich am verzweifeln und auch per Suche im Web nicht fündig geworden. Ich schreibe nun zum ersten Mal hier, daher hole ich etwas weiter aus. Die eigentliche Frage befindet sich weiter unten in fett.

    Ich habe die Betreuung einer Website mit einem Typo3 und einem integrierten InvisionPowerBoard übernommen. (Mein Kenntnisstand dabei ist laienhaft, aber es gibt leider keinen bei uns, der es besser kann.) Das Forum und ebenso der Inhalt der Website soll nur Nutzern zur Verfügung stehen, die eingeloggt und validiert sind. Beides, Typo3 und IPS, existieren auf dem Server schon seit ca. 10 Jahren und sind lange nicht geupdated worden. Allerdings sind jede Menge Beiträge zusammengekommen sodass wir von einer Neuinstallation absehen und uns auf ein Update der Software beschränken müssen.

    Die Updates an sich liefen soweit relativ problemlos.
    Typo3 läuft jetzt auf Version 4.5.27,
    IPB auf Version 3.4.5, soweit so gut. Bisher brauchten sich unsere Nutzer allerdings bloß auf der Websitestartseite einmal anmelden, dabei wurde die IPB Datenbank abgefragt und bei Erfolg dann automatisch ein Typo3-FEUser-Zugang aktiviert über den man nun auch die Webseite betreten konnte. Gleichzeitig wurden die entsprechenden Cookies fürs Forum gesetzt. Dies funktioniert allerdings nun mit den neuen Versionen nicht mehr.
    Unsere Absicht ist nach wie vor, dass die Nutzer sich nur einmal einloggen müssen, nämlich auf der Startseite vom Typo3 und dann im IPB ebenfalls eingeloggt sind. Dabei sind rund 500 User bereits im IPB registriert und wir wollen unter allen Umständen verhindern, dass diese sich neu registrieren müssen. Also müssen wir die vorhandene IPB-User-DB verwenden. Nun verwenden Typo3 und IPB allerdings unterschiedliche Passwortkodierungen. Beide erzeugen zwar salted MD5-Hashes, diese sind aber unterschiedlich lang und das jeweilige Salt fließt unterschiedlich ein. Meine Frage ist jetzt:

    [b]Gibt es eine Möglichkeit auf die Codierung der Passwörter im Typo3 Einfluss zu nehmen und diese im optimalfall genau so anzupassen, dass sie die codierten Hashes im IPB ebenfalls erkennt?[/b]
    z.B. könnte man ihm sagen wo er das jeweilige Salt findet und wieviele Stellen es hat? Dann müsste er doch das Passwort theoretisch richtig erkennen, wenn der Benutzer es im Plaintext beim Login eingibt.

    Beim Typo3 nutze ich die saltedpasswords Extension zusammen mit rsaauth.

    Die andere Alternative wäre, dass sich auf der Startseite der User einloggt, dabei aber nur die IPB-DB abgefragt wird und sollte dort der Login erfolgt sein müsste er beim Typo3 als FEUser aktiviert werden ohne dort nochmals sein Passwort zu verwenden. Ein solches Verfahren funktionierte ja bis zum Upgrade auf die neuen Versionen tadellos, aber seitdem eben nicht mehr.

    Vielleicht hat ja jemand eine Idee... ich komme momentan jedenfalls nicht weiter.
    Vielen Dank und allen einen schönen Abend,

    Niklas


  • 1
  • Julian.Hofmann Julian.Ho...
    Flash Gordon
    0 x
    2849 Beiträge
    105 Hilfreiche Beiträge
    27. 08. 2013, 09:57

    Hallo Niklas.

    Wenn Du mit PHP fit bist und gut Zusammenhänge analysieren kannst, dann ist es möglich :-)

    TYPO3 arbeitet beim Login mit Services, die nach ihrer Priorität abgearbeitet werden - sofern die Reihe nicht unterbrochen wird. So registriert sich z.B. saltedpassword als Service mit höherer Prio als der herkömmliche Login (und bietet in den Ext-Einstellung saltedpasswords als einzige Methode zuzulassen).

    In gleicher Weise kannst Du auch mit eigenem PHP-Code einen Service bauen, der gegen eine beliebige Datenbasis authentifiziert. Du musst nur drandenken, dass es nicht nur das Einloggen betrifft, sondern ggf. auch "Passwort vergessen?" und Profiländerungen mit in eine Sonderbehandlung reinmüssen.
    Neben saltedpasswords gibt es auch ein paar LDAP-Extensions, von denen man Code abgucken kann.

    Soweit erstmal der prinzipielle Einstieg. Bei Fragen einfach weiterfragen :-)

    Viele Grüße
    Julian

  • 1