Creo recordar, que no pudimos sincronizarlas, se generaban las claves y enviaban por correo y avisaba al usuario que entrara a cambiarlas, esto lo puede confirmar DOC que fue quién hizo la parte de integración con Google Apps, yo hice migraciones de usuarios Linux, o con clave en SHA y generando el MD5 después de hacer el base64 de las claves, pero el tema es que Google Apps al parecer solo soporta base16, por tanto no creo que se pueda sincronizar, al menos es lo que recuerdo vagamente, ahora mismo estoy más pensando en registros y posiciones de memoria del 8086 que en otra cosa xDD.<br>
<br>Salu2!<br><br><div class="gmail_quote">El 19 de diciembre de 2009 10:50, Enrique Zanardi <span dir="ltr"><<a href="mailto:ezanardi@atlantux.com">ezanardi@atlantux.com</a>></span> escribió:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5">On Fri, Dec 18, 2009 at 12:29:52PM +0000, Ancor Gonzalez Sosa wrote:<br>
> El Friday 18 December 2009 12:01:40 Miguel Armas escribió:<br>
> > El día 18 de diciembre de 2009 11:49, Ancor Gonzalez Sosa<br>
> ><br>
> > <<a href="mailto:ancorgs@banot.net">ancorgs@banot.net</a>> escribió:<br>
> > > Pues eso es lo que queríamos conseguir nosotros, pero sin éxito. ¿Pudiste<br>
> > > hacerlo usando el campo userPassword con el formato normal de Unix?<br>
> > > Nosotros no lo conseguimos. La única opción que vemos es usar otro<br>
> > > atributo del LDAP (o cambiar ambas contraseñas en el momento que se<br>
> > > cambie en el windows), porque no sabemos como pasar de algo al estilo<br>
> > > "{SHA}blabla=" (que es la pinta que tiene el atributo userPassword en el<br>
> > > LDAP) al tipo de SHA o MD5 que entiende Google.<br>
> ><br>
> > No estoy muy seguro, pero creo recordar que el atributo userPassword<br>
> > de OpenLDAP estaba en base64. Es decir, hacen el hash y luego lo pasan<br>
> > a base64. Esto lo mire hace tiempo con knut cuando Foton estaba<br>
> > haciendo una migracion. Igual el se acuerda mejor que yo...<br>
><br>
> Sí, el atributo está en base64 y el de Google lo requiere en base16. Pero me<br>
> temo que ese no es nuestro problema. Si yo paso el userpassword de base64 a<br>
> base16 (pasando o no por ascii, que es lo mismo), el resultado es una ristra<br>
> hexadecimal larguísima, mientras que Google Apps espera otra cosa.<br>
><br>
> Si yo pongo la clave:<br>
> "hola" (1)<br>
> desde smbldap-tools eso se traduce (encriptado en MD5) a algo así como:<br>
> {MD5}RgPToAwCd2ov86MLJywMYg== (2)<br>
> que, en codificado base64, es:<br>
> e01ENX1SZ1BUb0F3Q2Qyb3Y4Nk1MSnl3TVlnPT0= (3)<br>
> que es, ni más ni menos, el atributo userPassword de mi LDAP<br>
> Si paso eso a hexadecimal (base16) obtengo un chorizo larguíiisimo.<br>
><br>
> Sin embargo, Google, para la clave "hola" espera:<br>
> 916f4c31aaa35d6b867dae9a7f54270d (4)<br>
> que es el MD5 de la clave "hola" pasado a hexadecimal (base16), es decir, es<br>
> el resultado de la ejecución de la orden md5sum sobre la ristra "hola"<br>
<br>
</div></div>No sé si es relevante, o sólo un ejemplo rápido, pero el MD5 de la<br>
clave "hola" pasado a hexadecimal es:<br>
<br>
4d186321c1a7f0f354b297e8914ab240<br>
<br>
El que tú has puesto sería para "hola"+<LF>.<br>
<br>
Si lo queremos obtener a mano:<br>
<br>
~$ echo -n hola |md5sum<br>
4d186321c1a7f0f354b297e8914ab240 -<br>
~$ echo hola |md5sum<br>
916f4c31aaa35d6b867dae9a7f54270d -<br>
<br>
O en python:<br>
<br>
import md5<br>
print md5.new("hola").hexdigest()<br>
# devuelve '4d186321c1a7f0f354b297e8914ab240'<br>
print md5.new("hola\n").hexdigest()<br>
# devuelve '916f4c31aaa35d6b867dae9a7f54270d'<br>
<br>
Tampoco consigo reproducir la clave (2). Para "hola" a mi me sale:<br>
<br>
TRhjIcGn8PNUspfokUqyQA==<br>
<br>
y para "hola\n":<br>
<br>
kW9MMaqjXWuGfa6af1QnDQ==<br>
<br>
que es el mismo MD5-digest pero en Base64. Con estos valores, pasar de<br>
(2) a (4) consiste en base64-descodificar (2) (quitándole el prefijo {MD5})<br>
para obtener el digest en binario, y codificarlo en base16 (hexa) para<br>
obtener la cadena que quiere Google.<br>
<div class="im"><br>
> Pasar de (2) a (3) y viceversa es trivial (un simple cambio de base), pero no<br>
> sé si es posible pasar de (2) -ó (3)- a (4). Eso es lo que necesito hacer,<br>
> pero no lo he conseguido. Tal vez sean aplicaciones distintas del algoritmo<br>
> MD5, no sé.... Tampoco sé si ha quedado claro el problema, pero al que me lo<br>
> resuelva le regalo una cesta de navidad.<br>
<br>
</div>Si te ha servido avisa, y te mando mi dirección o paso a buscarla por GC. ;-)<br>
<div class="im"><br>
> Las soluciones alternativas incluyen, como mencionaba en el otro correo, usar<br>
> otro atributo del LDAP para guardar la contraseña en "formato MD5 de google"<br>
> (MD5sum) o bien cambiar la contraseña de google en el momento que se cambie<br>
> en el windows/unix. Pero nos podría muy cachondos poder usar el atributo<br>
> userPassword tal cuál.<br>
><br>
> > Salu2!<br>
><br>
> Saludos<br>
</div><div class="im">> _______________________________________________<br>
> Modularit-users mailing list<br>
> <a href="mailto:Modularit-users@lists.modularit.org">Modularit-users@lists.modularit.org</a><br>
> <a href="http://lists.modularit.org/mailman/listinfo/modularit-users" target="_blank">http://lists.modularit.org/mailman/listinfo/modularit-users</a><br>
><br>
</div>--<br>
Enrique Zanardi<br>
Atlantux Consultores S.L. - Grupo CPD<br>
<br>
Le informamos que los datos personales que puedan figurar en esta<br>
comunicación están incorporados a un fichero creado por Atlantux<br>
Consultores, S.L., con la finalidad de poder gestionar la relación<br>
comercial que nos vincula e informarle de nuestros servicios.<br>
En cualquier momento usted podrá ejercer sus derechos de acceso,<br>
rectificación, cancelación y oposición, dirigiéndose por escrito a:<br>
Atlantux Consultores, S.L., C/ Siempreviva, 41, 38320, La Laguna, Tenerife<br>
Si usted no desea recibir más información sobre nuestros servicios, puede<br>
darse de baja en la siguiente dirección de correo electrónico:<br>
<a href="mailto:consultores@atlantux.com">consultores@atlantux.com</a> o enviando un fax al número: 922670994<br>
<br>
</blockquote></div><br><br clear="all"><br>-- <br>Knut Alejandro Anderssen González <<a href="mailto:knut@foton.es">knut@foton.es</a>><br>Fotón, Sistemas Inteligentes S.L.<br>Las Palmas de Gran Canaria<br>Canary Islands (Spain)<br>