projekt kivitendo

Auth: POD-Dokumentation für automatisches SSO mittels gewisser HTTP-Header

Auth: automatisches SSO mittels gewisser HTTP-Header

Unterstützung für PostgreSQL 12

Das Format von `pg_attrdef` wurde in PostgreSQL 12 deutlich geändert;
die Spalte `adsrc` gibt es nicht mehr. Für den Auth-Code ist
allerdings nur interessant, ob es Spalte X in Tabelle Y bereits
gibt. Also auch nur genau diese Informationen auslesen.

Auth: Unterstützung für multiple Authentifizierungsbackends

Über den Parameter "module" kann man nun multiple Backends angeben,
die nacheinander versucht werden, bis ein Erfolg gemeldet wird oder
die Liste durchlaufen wurde.

Zusätzlich kann man LDAP-Module mehrfach angeben. Damit...

LDAP-Auth: Konfiguration über Konstruktur übergeben

Ist eine Vorarbeit dafür, das LDAP-Modul mit unterschiedlichen
Konfigurationen benutzen zu können.

LDAP-Auth: enter_sub/leave_sub entfernt

SessionValue: damit klarkommen, dass Auth-DB & Session-Tabellen nicht existieren

Durch die Änderungen letztens, mit der Session-Werte auch bei parallel
laufenden kivitendo-Requests richtig erhalten bleiben, wurde
SessionValue so umgeschrieben, dass es davon ausgeht, dass sowohl die...

Session Content: Race condition gehoben

Der ursprüngliche Mechanismus hat einfach nur alle Session Variablen
gespeichert und beim Session restore wieder geladen. Es hat sich aber
gezeigt, dass große Daten in der Session Requests deutlich langsamer
machen, also wurde das Flag auto_restore eingeführt. Session Werte, die...

Module: gebundletes YAML durch dünnen Wrapper über YAML::XS & YAML ersetzt

Auth::ColumnInformation: fetch nur in reset, nicht in init

die Version aus e7a7492e macht Probleme im taskserver.

ausserdem das reset nur dann machen, wenn es auch sinnvoll ist. Bisher
wurde das als silver Bullet aufgerufen, wannimmer sich etwas an der DB...

Auth::ColumnInformation: beim Anlegen einmal fetchen

Das hat zur Folge, dass unter FCGI der fetch im post request Handling
passiert und der Request startup flotter wird.

Passwörter: Unterstützung für crypt, MD5 und SHA-1 entfernt

Diese Algorithmen gelten allesamt als unsicher.

Falls die Datenbank jemals in falsche Hände geraten sollte, so würden
zumindest die mit crypt und MD5 gehashten Passwörter schnell zu knacken
sein. Die mit SHA-1 gehashten dürften etwas länger dauern, aber auch sie...

Passwörter: Hash-Verfahren PBKDF2 unterstützen und als Standard nutzen

Der aktuelle Stand der Technik sind die SHA-*-Varianten schon lange
nicht mehr. In der Zwischenzeit wurden der PBKDF2-Mechanismus
entwickelt, um schnelles Berechnen zu erschweren. Noch neuer und in...

Warnung vermeiden

Modul Digest::SHA1 auch nicht mehr als Fallback versuchen

Wird schlicht nicht mehr benötigt: Digest::SHA kam mit Perl 5.9.3 in
Core, und wir setzen 5.10.1 voraus.

Stringifizierbare Klassen laden, bevor YAML::Load() aufgerufen wird

Hintergrund. Normalerweise dumpt YAML Klassen sinnvoll, sprich mit
Typus, Paketnamen und Innereien. Für eine Instanz von
SL::Locale::String könnte das z.B. so aussehen:

--- !!perl/hash:SL::Locale::String...

Automatische Authentifizierung bestehender Sessions über Session-ID + API-Token

Wird für CRM-Menü benötigt.

Hinweise auf lx_office.conf in kivitendo.conf geändert

Fixt #2031.

Keine Passwörter mehr in Sessions speichern.

Der vorherige Mechanismus hat Passwörter in der Session hinterlegt, um bei
jedem Request überprüfen zu können, ob die Zugriffsrechte immernoch bestehen.
Gedacht war das vor allem für LDAP Authetifizierung, wo der Admin den Zugang...

Fallback in SL/Auth/Password war nicht korrekt

LDAP Authentifikation zwischen requests korrekt resetten.

Default-Passwort-Algo: SHA256 mit Salzen durch Login

Bei Passwortänderung Login für Salzen übergeben

Nicht immer alle Session-Werte automatisch laden und parsen

Durch das Speichern ganzer Forms in der Session wurde das Laden sehr
langsam, weil bei jedem Request alle Session-Werte geladen und mit
YAML geparst wurden. Rief man z.B. ein Erzeugnis mit 50 Einzelteilen...

Fall 'kein Hash-Algorithmus angegeben' bei alten Passwörtern richtig behandeln

Das Benutzer-Passwort nicht im Klartext in Session-Tabelle ablegen

Passwort-Hashing in eigenes Modul ausgelagert

Falscher Variablenname

Zirkuläre Referenzen auflösen

Zirkuläre Referenzen in $::auth auflösen, damit DB-Verbindung am Ende des Requests geschlossen wird

Conflicts:

SL/Auth/DB.pm

Fünf-Sekunden-Verzögerung bei falschem Login auch bei nicht existierendem Benutzernamen erzwingen

Hashen der Passwörter mittels Digest::SHA1 (Fallback auf Digest::MD5)

Teil eines Fixes für Bug 1606. Hintergrund ist, dass bei Nutzernamen
mit Umlaut als zweitem Char crypt() ungültiges UTF-8 erstellt: Crypt
nimmt die ersten zwei Bytes (nicht Zeichen) einer Zeichenfolge und...

Konfigurationsdatei config/authentication.pl nach config/lx_office.conf(.default) gemerget

Merge branch 'master' into after-262

Conflicts:
DEBIAN/DEBIAN/postinst
DEBIAN/mk_erp_deb.sh
config/lx-erp.conf
config/lx-erp.conf.default
doc/INSTALL.txt
locale/de_DE/all

Pod Fixes.

Debugcode

Optionaler Passwortcheck mit cracklib

Conflicts:

locale/de/all

Überprüfung der Passwortrichtlinie, wenn die Administratorin eine Benutzerin ändert

Eine Klasse zur Überprüfung der Passwortrichtlinie

Conflicts:

locale/de/all

Auth Konstanten ausgelagert in ein eigenes Package.

Dadurch keine Probleme mit zirkulären Includes mehr. Ausserdem DBI an der richtigen Stelle eingebunden.

und die restlichen .pm Module.

Rekursive Einbindung von Modulen verhindern.

Umstellung der Benutzerverwaltung von Dateien im Verzeichnis "users" auf die Verwendung einer Authentifizierungsdatenbank.
Es ist erforderlich, die Dateien doc/UPGRADE und doc/INSTALL/index.html zu lesen und die angesprochenen Punkte auszuführen, um nach einem Upgrade weiter arbeiten zu können.