Doc /

Md5txtfr

==traduction du fichier md5.txt d'imap==

<center>Authentification basée sur MD5

Mark Crispin traduit par jean-Daniel Dodin

1 November 1999 (27 Juillet 2005)</center>

===Principe=== La boite à outils IMAP fournit deux authentifications basées sur MD5, CRAM-MD5 et APOP. CRAM-MD5 est décrit dans la RFC 2195, et consiste en un mécanisme d'authentification SASL (RFC 2222). APOP est décrit par la RFC 1939, le document standard pour le protocole POP3.

Ces mécanismes utilisent la même idée générale. Le serveur fournit un challenge, le client reponds avec une somme de contrôle MD5 du challenge, plus le mot de passe. Le serveur compare la réponse du client avec sa propre version de la somme de contrôle. Si la réponse du client concorde, le client est authentifié.

Contrairement aux mots de passe non cryptés, cette forme d'authentification est considérée comme sûre pour la session en cours. "sniffer" la session ne révèlera pas le mot de passe ni de moyen de s'authentifier sans mot de passe pour une autre session.

Le principal inconvénient de cette forme d'authentification est que le serveur doit connaître le mot de passe non crypté. Avec l'authentification usuelle d'UNIX, le serveur ne connaît que la forme encryptée du mot de passe. Par conséquent, la base de données d'authentification pour cette forme d'authentification doit être strictement confidentielle, un malfaisant qui aurait accès à cette base peut accéder à tous les comptes de la base.

Le support CRAM-MD5 par le client support est implémenté sans condition. Tout client construit avec la boite à outils IMAP utilise CRAM-MD5 avec tout serveur demandant un support CRAM-MD5 SASL. ===Mise en oeuvre=== Le support du serveur CRAM-MD5 et APOP est disponible si et seulement si la base d'authentification CRAM-MD5 existe. Par défaut, sous UNIX, cette base de données d'authentification est un fichier UNIX appelé /etc/cram-md5.pwd. Il est recommandé que ce fichier soit protégé en 0400.

 NOTE : LE DEFAUT DE PROTECTION DE CE FICHIER CONTRE LES ACCES
 NON AUTORISES COMPROMET L'AUTHENTIFICATION CRAM-MD5 ET APOP POUR
 TOUS LES USAGERS LISTES DANS LE FICHIER.

Si la base de données d'identification CRAM-MD5 existe, alors l'authentification par mot de passe non crypté (par exemple la commande login) utilisera aussi les mots de passe CRAM-MD5 au lieu des mots de passe UNIX. Inversement il est possible de compiler la boite à outils IMAP de façon que l'authentification par mot de passe non cryptée soit entièrement désactivée en utilisant PASSWDTYPE=nul, c'est à dire en faisant "make aix PASSWDTYPE=nul".

La base de données d'authentification CRAM-MD5 consiste en une série de lignes de texte contenant un nom d'utilisateur UNIX, une tabulation unique et le mot de passe. Une ligne commençant par # est ignorée, comme toute ligne au format non valide. Par exemple :

 # CRAM-MD5 authentication database
 # Entries are in form <user><tab><password>
 # Lines starting with "#" are comments
  
 bill    hubba-hubba
 hillary nysenator
 monica  beret
 tripp   wired
 kenstarr        inquisitor
 reno    waco
 jessie  thebody
 billgates       ruleworld

Chaque entrée dans la base CRAM-MD5 doit correspondre à une entrée dans le fichier /etc/passwd. Par contre il est vivement recommandé que le mot de passe CRAM-MD5 ne soit pas le même que celui de /etc/passwd password. Il est permis que le mot de passe de /etc/passwd soit désactivé, /etc/passwd n'est utilisé que pour avoir l'UID, le GID, et les informations sur le répertoire home.

Pour créer un nouvel utilisateur d'IMAP, il faut donc penser à rajouter sa ligne dans cram-md5.pwd