Zammad: Zurücksetzen des Benutzerpassworts funktioniert nicht - Benutzer kann sich nicht anmelden

Gleiches Problem bei mir.

Passwort für Benutzer in admin zurücksetzen funktioniert auch nicht.
Das Zurücksetzen des Passworts per E-Mail funktioniert und Benutzer können sich jetzt problemlos wieder anmelden.

Wir haben die Verschlüsselungsalgorithmen geändert, aber alte Passwörter sollten kompatibel sein.

@thorsteneckel irgendwelche ideen?

PS: Zammad hat bereits ein einfaches LDAP-Authentifizierungs-Backend (seit 1.0). Dies hat sich in 1.3 nicht geändert, Sie können die Meldung "Verbindung abgelehnt" vorerst ignorieren.

Passwort für Benutzer in admin zurücksetzen funktioniert auch nicht.

Hier gilt das gleiche

Das Zurücksetzen des Passworts per E-Mail funktioniert und Benutzer können sich jetzt problemlos wieder anmelden.

Das funktioniert

🤔 Ich schau mal! Entschuldige die Umstände.

Wir haben die Änderungen noch einmal überprüft und versucht, das Verhalten zu reproduzieren. Alles funktioniert wie erwartet :/

Können Sie sich Ihre DB ansehen: Gibt es PWs, die mit {sha2} ? Ist die Anmeldung für diese Benutzer möglich? Es sollte keine Passwort-Hashes geben, die nicht mit {sha2} oder $argon2i$ . Können Sie das bestätigen?

Wäre es möglich, eine Remote-Sitzung zu haben, um einen Blick auf das System und eine Datenbank zu werfen, um auf Unterschiede zu überprüfen? Sie können uns über [email protected] kontaktieren .

Was wir gemacht haben:

• SHA2-Hash für PW 'test123' ( {sha2}ecd71870d1963316a97e3ac3408c9835ad8cf0f3c1bc703527c30265534f75ae ) in die Datenbank für einen Testbenutzer einfügen
• Bestätigen Sie den DB-Hash als Benutzer pw über die Rails-Konsole ✅
• Versuchen Sie sich mit PW 'test123' anzumelden ✅
• Ändern Sie das PW des Benutzers über den Admin-Benutzer in der Admin-Oberfläche ✅

Wäre toll zu wissen woher das kommt.... 🤔

Fast alle unsere Agenten haben "$argon2i$"-Passwörter in der Datenbank. Das Zurücksetzen in der Benutzerverwaltung funktioniert bei diesen nicht.

Ah okay! Ich dachte, wir hätten einige Probleme mit der älteren SHA2-Unterstützung. Komisch. Hat jemand von euch Probleme beim Update? Ich frage, weil Zammad ein zufälliges Geheimnis generiert, das für die Passwortgenerierung verwendet wird. Dieses Geheimnis sollte nur einmal gesetzt werden und sich nicht mehr ändern -> sonst knackt es alle Passwörter 💡 Ich kann in einem regulären Setup keine Situation sehen, in der sich dieses Geheimnis ändert, nachdem es einmal gesetzt wurde. Ich habe das Gefühl, dass dies die Ursache ist, aber ich kann nicht sagen, warum.

JFI: Kann es immer noch nicht reproduzieren. Danke aber an @michilehr für die Daten...

@michilehr @jannheider Gibt es die Möglichkeit, dass Sie beim Einrichten oder Aktualisieren der Datenbank / des Systems Probleme oder ein ungewöhnliches Verhalten hatten? Wie Setup, Verwendung, erneutes Setup? Oder die Benutzertabelle von einer Zammad-Instanz in eine andere übertragen?

@shakalandy ?

Wir hatten nie Probleme beim Aktualisieren, wir verwenden Zammad seit der ersten Veröffentlichung.
Installiert aus dem CentOS-Repository auf einem sauberen Server, auf dem nichts anderes installiert wurde.
Keine Übertragung der Benutzertabelle.

Es ist sehr plausibel, dass es ein Problem mit dem geheimen Schlüssel geben könnte.
Wie auch immer, warum können wir das Benutzerpasswort in admin nicht zurücksetzen, es funktioniert nur das Zurücksetzen des Passworts per E-Mail.

Sehr eigenartig. Ich kann das Problem mit dem Admin-PW-Reset auch nicht reproduzieren 🤔 Wäre eine Remote-Sitzung (TeamViewer oe) möglich, um sich das System anzusehen? @jannheider

das gleiche für uns. Gerne gebe ich dir eine Teamviewer Session @thorsteneckel

Danke @michilehr für die Unterstützung in diesem

@jannheider kannst du das bestätigen? Können Sie überprüfen, ob die Anzahl der login_failed für den betroffenen Benutzer über dem Limit liegt? Sie können dies nur überprüfen, indem Sie in der Datenbank nachsehen: Tabelle users Spalte login_failed . Wäre toll, Feedback zu bekommen, um sicherzustellen, dass es nur dieser eine Fehler ist.

Wir gehen darauf ein und beheben es.

@thorsteneckel
Dies kann ich bestätigen.
Benutzer, der sich nicht mehr anmelden kann -> login_failed count > 11

Passwort zurücksetzen mit "Passwort per E-Mail zurücksetzen", Benutzer kann sich erneut anmelden und login_failed count = 0
Mehrfach getestet

Wäre schön das in der GUI zu sehen, dass der User wegen zu vielen fehlgeschlagenen Logins gesperrt ist ;)

Danke für das Debuggen!

@thorsteneckel danke für deine Mühe 👍

Danke für eure Unterstützung Jungs. Sollte mit dem obigen Commit behoben werden. Feedback ist willkommen

Sorry Leute, ich habe gerade zammad (debian 9, repo) installiert und den gleichen Fehler bekommen. Die erste Anmeldung hat geklappt, aber jetzt kann sich kein Benutzer anmelden. Alle Passwörter beginnen mit $argon2i$. Irgendwelche Ideen? :(

Hallo @fbaeumer - bitte erstelle eine neue Ausgabe und fülle die Vorlage aus, da dies hier seit

Ich arbeite mit Admin LTE und das Update-Login-Passwort funktioniert nicht richtig.