Zammad: Reset kata sandi pengguna tidak berfungsi - pengguna tidak dapat masuk

Dibuat pada 20 Feb 2017 · 20Komentar · Sumber: zammad/zammad

Setelah Pembaruan dari Zammad 1.2 ke 1.3 kami memiliki masalah.

Ketika seorang Agen logout dari Zammad, dia tidak bisa login lagi.
Nama Pengguna / Kata Sandi Salah

Dari log Produksi Zammad:

INFO -- : Parameter: {"username"=>"[email protected]", "password"=>"[FILTERED]", "fingerprint"=>"1879163988", "session"=>{"username"= >"[email protected]", "sandi"=>"[DIFILTER]", "sidik jari"=>"1879163988"}}
INFO -- : Tidak dapat terhubung ke 'localhost', Koneksi ditolak - sambungkan (2) untuk 127.0.0.1:389

Kami tidak pernah menggunakan Server LDAP?!?

Informasi:

Versi Zammad bekas: 1.3 (terbaru dari centos repro)
Sistem operasi: (MacOS)
Browser + versi: Chrome, Firefox (terbaru)

bug

Sumber

jannheider

Semua 20 komentar

Masalah yang sama bagi saya.

michilehr pada 23 Feb 2017

Reset kata sandi untuk pengguna di admin juga tidak berfungsi.
Reset kata sandi melalui email berfungsi dan pengguna sekarang dapat masuk kembali tanpa masalah.

michilehr pada 23 Feb 2017

Kami memang mengubah algoritma crypt tetapi kata sandi lama harus kompatibel.

@thorsteneckel ada ide?

PS: Zammad sudah memiliki backend autentikasi LDAP sederhana (sejak 1.0). Ini tidak berubah di 1.3, Anda dapat mengabaikan pesan "Koneksi ditolak" untuk saat ini.

martini pada 23 Feb 2017

Reset kata sandi untuk pengguna di admin juga tidak berfungsi.

Sama disini

Reset kata sandi melalui email berfungsi dan pengguna sekarang dapat masuk kembali tanpa masalah.

Ini bekerja

jannheider pada 23 Feb 2017

Aku akan melihatnya! Maaf untuk keadaan.

thorsteneckel pada 23 Feb 2017

👍1

Kami meninjau kembali perubahan dan mencoba mereproduksi perilaku tersebut. Semuanya berjalan seperti yang diharapkan :/

Bisakah Anda melihat DB Anda: Apakah ada PW yang dimulai dengan {sha2} ? Apakah login dapat dilakukan untuk pengguna tersebut? Seharusnya tidak ada hash kata sandi yang tidak dimulai dengan {sha2} atau $argon2i$ . Bisakah Anda mengkonfirmasi itu?

Apakah mungkin untuk memiliki sesi jarak jauh untuk melihat sistem dan db untuk memeriksa perbedaan? Anda dapat menghubungi kami melalui [email protected] .

Apa yang kita lakukan:

Masukkan hash SHA2 untuk PW 'test123' ( {sha2}ecd71870d1963316a97e3ac3408c9835ad8cf0f3c1bc703527c30265534f75ae ) ke dalam database untuk pengguna uji
Konfirmasi hash DB sebagai pw pengguna melalui konsol Rails
Coba login dengan PW 'test123'
Ubah PW pengguna melalui pengguna admin di antarmuka admin

Akan sangat bagus untuk mengetahui dari mana ini berasal....

thorsteneckel pada 23 Feb 2017

Hampir semua agen kami memiliki kata sandi "$argon2i$" di database. Menyetel ulang dalam administrasi pengguna tidak berfungsi untuk ini.

michilehr pada 23 Feb 2017

Oke! Saya pikir kami memiliki beberapa masalah dengan dukungan SHA2 lama. Aneh. Apakah salah satu dari Anda mengalami masalah saat memperbarui? Saya bertanya karena Zammad menghasilkan rahasia acak yang digunakan untuk pembuatan kata sandi. Rahasia ini hanya boleh disetel sekali dan tidak boleh diubah lagi -> jika tidak maka akan merusak semua kata sandi Saya tidak dapat melihat situasi apa pun dalam pengaturan reguler di mana rahasia ini berubah setelah disetel sekali. Saya memiliki perasaan bahwa ini adalah akar masalahnya tetapi saya tidak dapat mengatakan mengapa.

JFI: Masih belum bisa mereproduksinya. Terima kasih kepada @michilehr untuk datanya... 👍

thorsteneckel pada 23 Feb 2017

@michilehr @jannheider apakah ada kemungkinan Anda mengalami masalah atau perilaku yang tidak biasa saat menyiapkan atau memperbarui database / sistem? Seperti pengaturan, penggunaan, pengaturan lagi? Atau mentransfer tabel pengguna dari satu instance Zammad ke instance lainnya?

thorsteneckel pada 24 Feb 2017

@shakalandy ?

michilehr pada 24 Feb 2017

Kami tidak pernah mengalami masalah saat memperbarui, kami menggunakan Zammad sejak rilis pertama.
Diinstal dari repositori CentOS di server bersih di mana tidak ada lagi yang diinstal.
Tidak ada transfer tabel pengguna.

Sangat masuk akal bahwa mungkin ada masalah dengan kunci rahasia.
Lagi pula, mengapa kami tidak dapat mengatur ulang kata sandi pengguna di admin, hanya mengatur ulang kata sandi melalui email yang berfungsi.

jannheider pada 24 Feb 2017

Sangat aneh. Saya juga tidak dapat mereproduksi masalah pengaturan ulang PW admin Apakah sesi jarak jauh (TeamViewer oe) memungkinkan untuk melihat sistem? @jannheider

thorsteneckel pada 24 Feb 2017

sama untuk kita. Saya akan dengan senang hati memberi Anda sesi teamviewer @thorsteneckel

michilehr pada 24 Feb 2017

Terima kasih @michilehr atas dukungannya untuk yang satu ini. Saya pikir kami menemukan penyebabnya: Jumlah login_failed tidak akan disetel ulang setelah kata sandi berubah. Jadi pengguna tidak akan pernah bisa login lagi

@jannheider dapatkah Anda mengonfirmasi ini? Bisakah Anda memeriksa apakah jumlah login_failed untuk Pengguna yang terpengaruh melebihi batas? Anda dapat memvalidasi ini hanya dengan melihat di database: Tabel users kolom login_failed . Akan sangat bagus untuk mendapatkan umpan balik untuk memastikan itu hanya bug yang satu ini.

Kami akan membahas ini dan memperbaikinya.

thorsteneckel pada 24 Feb 2017

👍1

@thorsteneckel
Saya bisa mengkonfirmasi ini.
Pengguna yang tidak bisa login lagi -> login_failed count > 11

Reset password dengan "reset password via email", User dapat login kembali dan login_failed count = 0
Diuji beberapa kali

Akan menyenangkan melihat ini di GUI, pengguna itu diblokir karena banyak login yang gagal;)

Terima kasih telah men-debug ini!

jannheider pada 24 Feb 2017

@thorsteneckel terima kasih atas usaha Anda 👍

michilehr pada 24 Feb 2017

Terima kasih atas dukungan kalian. Harus diperbaiki dengan komit di atas. Umpan balik diterima

thorsteneckel pada 24 Feb 2017

Maaf guys, saya baru saja menginstal zammad (debian 9, repo) dan saya mendapatkan kesalahan yang sama. Login pertama berjalan dengan baik tetapi sekarang tidak ada pengguna yang bisa login. Semua kata sandi dimulai dengan $argon2i$. Ada ide? :(