[Frage] Installtool Passworthash lässt sich nicht zurücksetzen TYPO3-Version: 8.7.27

  • hannes_loehr hannes_lo...
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    21. 02. 2020, 15:29

    Hallo Typo3-Experten,

    mein Name ist Hannes Loehr, bin Neuling in Sachen Typo3 und dies ist mein erster Post.

    Ich habe ein Problem mit dem Zugang zum Installtool zu einer Typo3-Installation 8.7.27 unter CentOS. Mir liegt das Passwort zum Installtool nicht vor, so dass ich versucht habe, den auf der Zugangsseite zum Installtool angezeigten Hash eines neuen Passworts in der LocalConfiguration.php zu setzen:

    <?php
    return [
    'BE' => [
    'adminOnly' => 0,
    'compressionLevel' => '9',
    'debug' => false,
    'explicitADmode' => 'explicitAllow',
    'installToolPassword' => '$pbkdf2-sha256$25000$viele_weitere_zeichen......',
    'loginSecurityLevel' => 'rsa',
    ],

    Mein Login wird aber weiterhin abgelehnt und mit jedem Abschicken des Formulars wird ein neuer Hash angezeigt.

    Hat hier jemand einen Tipp, wie man hier vorgehen muss?

    Vielen Dank
    Hannes


  • 1
  • Julian.Hofmann Julian.Ho...
    Flash Gordon
    0 x
    3116 Beiträge
    137 Hilfreiche Beiträge
    24. 02. 2020, 13:23

    Hallo Hannes.

    Willkommen in der TYPO3-Welt! :-)

    Je nach Hashing-Algorithmus kann es mehrere Hashs für denselben Wert geben. Das sollte Dich also nicht irritieren.

    Klingt, als hättest Du das TYPO3 übernommen, d.h. weißt nur bedingt, was alles in dem Projekt steckt.
    a) neben der LocalConfiguration kann noch eine AdditionalConfiguration.php liegen. Falls ja, guck da mal rein. (Die LocalConfiguration wird vom Install-Tool geschrieben, die AdditionalConfiguration von Integrator/Entwickler und übershreibt Werte der LocalConfiguration)
    b) Falls a) nicht zutrifft: such mal durch den Extensionordner, ob ein eigene Extension (z.B. Sitepackage) das Passwort überschreibt/setzt (suche nach "installToolPassword").

    Viele Grüße
    Julian

  • hannes_loehr hannes_lo...
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    24. 02. 2020, 15:46

    Hallo Julian,

    richtig geraten, ich musste eine Typo3-Installation übernehmen, wo schon diverse Personen ihre Finger im Spiel hatten. Ich wiederum bin Neuling in Sachen Typo3.

    Zu a) Im typo3conf-Verzeichnis gibt es neben der LocalConfiguration.php keine AdditionalConfiguration.php.

    Zu b) Ein rekursives Grep nach dem String "installToolPassword" findet nur den Eintrag in der LocalConfiguration und drei Vorkommen in Übersetzungsdateien.

    Ich hangele mit jetzt mit einfachen prints durch den Sourcecode des Installtools, wo der Aufruf zum Generieren des Hashs in der roten Box gemacht wird und schaue jetzt weiter in der Systemextension saltedpasswords in der Pdbkf2Salt.php, was genau passiert.

    Es kommt bei jedem einzelnen Absenden desselben Passworts im Installtool ein neuer Hash.

    Trotzdem vielen Dank für die Antwort
    Hannes

  • Teisinger Teisinger
    Jedi-Meister
    0 x
    460 Beiträge
    31 Hilfreiche Beiträge
    25. 02. 2020, 14:17

    Das da: loginSecurityLevel auf "normal" setzten.

    https://github.com/groundstack-org

  • hannes_loehr hannes_lo...
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    26. 02. 2020, 15:59

    Die Änderung mit dem loginSecurityLevel habe ich probiert. Beim Aufruf der install.php im Browser wird das "normal" sofort wieder durch "rsa" ersetzt.

    Habe nach diesem Effekt gesucht und wie hier beschrieben https://forge.typo3.org/issues/61540 versucht, per AdditionalConfiguration.php die Einstellung auf normal zu setzen. Das hat keinen Unterschied gemacht, es kommt bei jedem Absenden der install.php ein neuer Hash zurück.

    Das Deaktivieren der rsa-Extension habe ich noch nicht probiert.

  • Teisinger Teisinger
    Jedi-Meister
    0 x
    460 Beiträge
    31 Hilfreiche Beiträge
    28. 02. 2020, 12:46

    Stop mal, das ein neuer Hash zurück kommt, soll auch so sein - also das ist kein Fehler... :)

    https://github.com/groundstack-org

  • hannes_loehr hannes_lo...
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    28. 02. 2020, 13:09

    Sorry, dass ich anscheinend so auf dem Schlauch stehe.

    Ich gebe in der install.php ein Passwort "passwort1234" ein. Darauf kommt die Seite zurück mit einem Hinweis in einer roten Box:

    "Login failed

    Given password does not match the install tool login password. Calculated hash: $pbkdf2-sha256$25000$c1dOCHujogEsWu9v2lZMVw$tRGDt9jWZMKQ5KNCGKHmZlC7j5XX4IzLjT9fMVA7pnI"

    Diesen Hash schreibe an entsprechender Stelle in die LocalConfiguration.php und gebe im Formular install.php wieder "passwort1234" ein.

    Darauf kommt dann z.B.

    "Login failed

    Given password does not match the install tool login password. Calculated hash: $pbkdf2-sha256$25000$qVCrJj90SQXeW.FTkeofhQ$mKD37w6ScPo8CSxIw22Z4ZfKHNzIVwrgv7VuUvUBt/U"

    Das kann ich beliebig oft wiederholen, mein "passwort1234" wird immer abgewiesen.

  • Teisinger Teisinger
    Jedi-Meister
    0 x
    460 Beiträge
    31 Hilfreiche Beiträge
    28. 02. 2020, 20:59

    Alles was mir grad dazu einfällt ist bereits erwähnt:
    a) AdditionalConfiguration.php - loginSecurityLevel => normal
    b) das installToolPassword wird sont irgendwo überschrieben

    Achso wenn da ein "." (Punkt) hinter dem gegebenem Hashwert steht, der gehört zum Hashwert dazu!!

    https://github.com/groundstack-org

  • hannes_loehr hannes_lo...
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    03. 03. 2020, 12:21

    Ich werden anhand der Hinweise mal weitersuchen. Vielen Dank für die Unterstützung.

  • hannes_loehr hannes_lo...
    TYPO3-Anwärter
    0 x
    6 Beiträge
    0 Hilfreiche Beiträge
    09. 03. 2020, 12:19

    Noch ein Nachtrag: Anstatt den Key per Putty und Nano in der Shell in die LocalConfiguration einzutragen, habe ich es mal per Remote Project in einem NetBeans gemacht; mit anschließendem systemctl reload httpd hat er mein Passwort dann angenommen.

    Gruß
    Hannes

  • 1