Probleme mit empfohlenen Kommentieren von #default_pass_scheme = CRYPT on dovecot

[rseffner]

Nachdem ich dem Migrationsleitfaden folgend einen Tag nach Upgrade auf froxlor2 nun auch noch im dovecot "default_pass_scheme = CRYPT" kommentiert habe, gibt es jetzt einige Nutzer, die sich nicht mehr anmelden können.

Was auffällt ist, dass es in der Spalte password_enc der Tabelle mail_users nun verschiedenen Kennwortypen gibt

• *****
• {BLF-CRYPT}$2y$10$***** - das entsteht bei Neusetzen eines Passortes mit froxlor2
• {MD5-CRYPT}$1$***** - die scheinen laut dovecot.log auch zu funktionieren
• {SHA512-CRYPT}$6$0***** - die scheinen laut dovecot.log auch zu funktionieren

Kann es sein, dass nun ein(ige) Format(e) nicht mehr funktionieren? Welche?

[rseffner]

Einfach ein {CRYPT} direkt an den Anfang der Passworstrings in der Spalte password_enc bei ausschließlich den Einträgen die nicht mit "{" beginnen hilft.

[d00p]

welches os, welche dovecot version und wie lautet die ausgabe von doveadm pw -l

[rseffner]

37 minutes ago, d00p said:

welches os, welche dovecot version und wie lautet die ausgabe von doveadm pw -l

history : db-updates seit syscp
os : debian 11
dovecot : 2.3.13+dfsg1-2+deb11u1
doveadm pw -l : SHA1 SSHA512 SCRAM-SHA-256 BLF-CRYPT PLAIN HMAC-MD5 OTP SHA512 SHA DES-CRYPT CRYPT SSHA MD5-CRYPT PLAIN-MD4 PLAIN-MD5 SCRAM-SHA-1 SHA512-CRYPT CLEAR CLEARTEXT ARGON2I ARGON2ID SSHA256 MD5 PBKDF2 SHA256 CRAM-MD5 PLAIN-TRUNC SHA256-CRYPT SMD5 DIGEST-MD5 LDAP-MD5

[d00p]

BLF-CRYPT steht aber doch drin...sollte problemlos funktionieren, nutze ich auf meiner Kiste seit Wochen mit aktualisierten und neuen Mail Konten 

[d00p]

Ggfls von "System/Default" password hash in den froxlor settings auf "argon2" wechseln (und Passwort des Kontos neusetzen). Aber normal ging das Super 

[rseffner]

4 minutes ago, d00p said:

BLF-CRYPT steht aber doch drin...sollte problemlos funktionieren, nutze ich auf meiner Kiste seit Wochen mit aktualisierten und neuen Mail Konten 

Zu BLF-CRYPT schrieb ich doch nur, dass das gesetzt wird, wenn ich jetzt mit froxlor2 ein Kennwort setze. Diese funktionieren dann übrigens. Ich konnte es auf den ersten Typ eingrenzen, Kennwörter, die kein "{***-CRYPT gesetzt}" haben.
Vielleicht kann man die ja um {irgendwas-CRYPT}$irgendwas am Begin ergänzen und dann gehts wieder?

[d00p]

Kannst du mir prefixe der Passwörter in deiner DB nennen die nicht mit {...} Anfangen.?

[rseffner]

3 minutes ago, d00p said:

Kannst du mir prefixe der Passwörter in deiner DB nennen die nicht mit {...} Anfangen.?

Die haben eben keine Präfixe. Setze ich {CRYPT} gehts dann - erschließt sich mir nun auch dank Deines Tips mit doveadm pw -l.

Wie alt müssen diese Kennwörter wohl sein ... aus SYSCP-Zeiten?

[d00p]

Ich miente keine {ASD} prefixe sondern vom Hash... Fangen die nicht mit $irgendwas$ an?

[d00p]

3 minutes ago, rseffner said:

Wie alt müssen diese Kennwörter wohl sein ... aus SYSCP-Zeiten?

Das kann sein ja, ich habe mich da rein an die hashes aus 0.10.x gehalten die wir supporten. 

[rseffner]

5 minutes ago, d00p said:

Ich miente keine {ASD} prefixe sondern vom Hash... Fangen die nicht mit $irgendwas$ an?

Nein, auch keine $irgendwas

[d00p]

hm...okay krass, ja dann sind die echt <0.10.x - würde ich sagen: Da empfiehlt sich doch mal ein Passwort-Ändern so nach ~10 Jahren

Sorry das es da für dich jetzt Probleme gibt... 😕