Tengo una aplicación web que quiero proteger mediante la autenticación de Apache. Descubrí que usa sha1+salt para almacenar contraseñas. Como auth_mysql_moduleestá en desuso, intento utilizar authn_dbd_module. Actualmente estoy ejecutando Debian Wheezy. Así es como la aplicación web crea hashes de contraseñas:
<?php sha1($pw.$salt); ?>
prueba con php:
sha1('password'.'salt')
c88e9c67041a74e0357befdff93f87dde0904214
Puedo reproducir el hash usando mysql:
SELECT SHA1(CONCAT(@pw, @salt));
intenta usar mysql:
mysql> SELECT SHA1(CONCAT('password', 'salt'));
+------------------------------------------+
| SHA1(CONCAT('password', 'salt')) |
+------------------------------------------+
| c88e9c67041a74e0357befdff93f87dde0904214 |
+------------------------------------------+
Mi apache site.conf:
DBDriver mysql
DBDParams "host=localhost user=<db_user> pass=<db_pass> dbname=<db_name>"
<Directory /var/www/htdocs/>
Options -Indexes
Order allow,deny
Allow from all
AuthName "Please enter username and password"
Authtype Basic
require valid-user
AuthBasicProvider dbd
AuthDBDUserPWQuery "SELECT SHA1(CONCAT(password, salt)) AS password FROM users WHERE username = %s"
</Directory>
La AuthDBDUserPWQuerylínea obviamente no funciona porque crea un nuevo hash a partir de (hash y sal almacenados) y lo compara con la contraseña ingresada. Y registro de Apache:
[Sat Aug 22 XX:XX:XX 2015] [error] [client 92.X.X.X] user myusername: authentication failure for "/": Password Mismatch
Sé que no se recomienda usar sha1 ni short salt para almacenar contraseñas. Pero de todos modos: ¿hay alguna manera de hacer que la autenticación funcione?