4.3 Alpha 2-3. Неправильное имя пользователя или пароль

[point027]

При попытке открыть веб-конфигуратор в браузере Mozilla Firefox (115.16.1 esr, если точнее) под своим логином и паролем, пишет "Неправильное имя пользователя или пароль".

Неважно, admin или другой пользователь с правом доступа. Неважно, автоподстановка из браузера или руками набирать.

Скрытый текст

Помогает заход через режим "Инкогнито", через другой браузер (например, Яндекс.Браузер) или чистка куков веб-конфигуратора.

Чистки куков хватает на пару раз, после чего опять возникает ошибка.

Прилагаю скрин с тем, что происходит в логе в это время

Скрытый текст

 

Изменено 30 октября, 2024 пользователем point027

[AndreBA]

18 минут назад, point027 сказал:

При попытке открыть веб-конфигуратор в браузере Mozilla Firefox (115.16.1 esr, если точнее) под своим логином и паролем, пишет "Неправильное имя пользователя или пароль".

Неважно, admin или другой пользователь с правом доступа. Неважно, автоподстановка из браузера или руками набирать.

  Показать содержимое

Помогает заход через режим "Инкогнито", через другой браузер (например, Яндекс.Браузер) или чистка куков веб-конфигуратора.

Чистки куков хватает на пару раз, после чего опять возникает ошибка.

Прилагаю скрин с тем, что происходит в логе в это время

  Показать содержимое

 

Цитата

 

 

[legenda]

У меня такая же проблема при входе через mozilla, пусакет с других браузеров, очистка куки и данных не помогает.

[Grostel]

Проблему так и не решили? Или не у всех проявляется данная проблема?

[Gary Komarov]

5 часов назад, Grostel сказал:

Проблему так и не решили? Или не у всех проявляется данная проблема?

Попробовать поменять пароль на новый более сложный
И думаю заработает...

Кстати для "admin" оставили действующими старые пароли, которые для других пользователей не проходят валидацию
Непонятно только где оно хранит что "пароль кривой"?
Только же MD5 хеш по идее должен храниться, какого фига оно ни через cli, ни по ssh на opkg, ни через браузер не пускает для новых пользователей с плохими паролями
Т.е. через cli "user Test password MD5 Хеш" - оно дает установить хеш от плохого пароля
Но работать он не будет, если не admin

[Le ecureuil]

11 часов назад, Grostel сказал:

Проблему так и не решили? Или не у всех проявляется данная проблема?

Сейчас жалоб нет, а тогда все подправили.

[Gary Komarov]

3 часа назад, Le ecureuil сказал:

Сейчас жалоб нет, а тогда все подправили.

К сожалению есть жалобы в 4.3.5:

1. Уже давно запретили заводить пользователей когда различия только в регистре символов.
Например если есть пользователь "test" то добавить еще пользователя "Test" нельзя!
Хотя это разные пользователи и авторизация в кинетике при отличиях в регистре не проходит.
Раньше (очень давно) спокойно можно было делать "дубли" пользователей с разницей в регистре.
И если они уже есть то после обновления оставались и работали, пока не удалишь, а добавить снова облом.

2. Аналогичная ситуация произошла со сложностью паролей.
Если уже есть пользователи со слишком простыми паролями - они частично работают, пока не удалишь.
А снова добавить с простым или поменять пароль на простой нельзя!
Даже если через cli поменять ("user test password md5 хеш_простого_пароля") то авторизация с ним не проходит в любых режимах.

Имхо было бы правильно и запрет имен пользователей с разным регистром и сложность паролей по дефолту как сейчас.
Но глубоко в интерфейсе запрятать нужные галочки, которые разрешают и дубли с регистрами и отключают сложность/валидацию паролей.
Кому надо те разрешат, понимая что делают.

[Le ecureuil]

1 час назад, Gary Komarov сказал:

Даже если через cli поменять ("user test password md5 хеш_простого_пароля") то авторизация с ним не проходит в любых режимах.

Точно неправда, все работает. Только там не hash, а H(A1) из digest auth: https://datatracker.ietf.org/doc/html/rfc7616#section-3.4.2

 

Все остальное касается переходного процесса, во время которого мы и правда оставляем старые конфигурации полностью работоспособными даже со слабыми паролями. Наша задача сделать так, чтобы на всех новых конфигурациях задавались только более сложные пароли.

 

Насчет создания пользователей в разном регистре - это вопрос к Web, система позволяет создать одного и того же пользователя несколько раз в разных регистрах без проблем.

[Gary Komarov]

27 минут назад, Le ecureuil сказал:

Насчет создания пользователей в разном регистре - это вопрос к Web, система позволяет создать одного и того же пользователя несколько раз в разных регистрах без проблем.

Да согласен что проблема web интерфейса, через cli пользователи в разных регистрах создаются

 

 

27 минут назад, Le ecureuil сказал:

Только там не hash, а H(A1) из digest auth: https://datatracker.ietf.org/doc/html/rfc7616#section-3.4.2

Спасибо, проверю
Но я пробовал hash от admin (из running-config) другому пользователю назначать через password md5 hash1 и password nt hash2
И не взлетело, под новым с паролем как у admin не заходит
Кстати что такое password nt?

Изменено Вторник в 13:06 пользователем Gary Komarov

[Leshiyart]

26 минут назад, Gary Komarov сказал:

Да согласен что проблема web интерфейса, через cli пользователи в разных регистрах создаются

 

 

Спасибо, проверю
Но я пробовал hash от admin (из running-config) другому пользователю назначать через password md5 hash1 и password nt hash2
И не взлетело, под новым с паролем как у admin не заходит
Кстати что такое password nt?

Хеш привязан к имени пользователя, логично что не подходит 

[Leshiyart]

27 минут назад, Gary Komarov сказал:
Кстати что такое password nt?

ntlm хеш, не привязан к модели и имени пользователя 

Изменено Вторник в 13:30 пользователем Leshiyart

[Le ecureuil]

27 минут назад, Gary Komarov сказал:

Кстати что такое password nt?

Это NTLM-hash.

[Gary Komarov]

6 минут назад, Leshiyart сказал:

Хеш привязан к имени пользователя, логично что не подходит

Угу это уже понял
Вопрос что хранится в running-config в поле md5?
Какая там часть realm из md5(login:realm:password) ?

 

 

7 минут назад, Leshiyart сказал:

ntlm хеш, не привязан к модели и имени пользователя 

Выходит авторизация в smb должна проходить с одним хешем (паролем) для разных пользователей

[Leshiyart]

2 минуты назад, Gary Komarov сказал:

Вопрос что хранится в running-config в поле md5?
Какая там часть realm из md5(login:realm:password) ?

realm это название модели роутера например Keenetic Giga

[Gary Komarov]

20 минут назад, Leshiyart сказал:

realm это название модели роутера например Keenetic Giga

Спасибо!

Получилось через cli и создать пользователя с нужным регистром и задать ему нужный короткий пароль
Через веб авторизуется

А вот через smb/cifs пока не хочет из win10 заходить на роутер через сеть, точнее не подхватывает логин/пароль из винды, запрашивает авторизацию
Но пароль принимает если ввести, причем пользователя при запросе отображает в нужном регистре как в кинетике задан