Als ich zum Jahreswechsel eine Kommentarfunktion auf dem Webcomic DJIL ergänzen wollte, habe ich aus den OSS-Kandidaten Commento ausgewählt.
Die Einrichtung von Commento verlief sehr einfach & beinahe nach Anleitung der Hersteller/innen. Einziger Fehler: Commento konnte keine Verbindung zur Datenbank herstellen. Die Fehlermeldung klingt etwas seltsam und liefert überraschend wenig Ergebnisse in der weiten Welt:
authentication method not supported (Received: 10)oder
The authentication type 10 is not supported Die Ursache ist, dass Commentos Datenbank-Client keine Verschlüsselung mit dem Verfahren scram-sha-256 unterstützt.
Dieses ist in PostgreSQL seit Version 10 unterstützt, seit Version 11.9 sogar standardmäßig eingestellt, aus gutem Grund. Meine Datenbank läuft derzeit in Version 14, ein downgrade kommt nicht in Frage; jedoch fehlt mir auch die Lust, Commentos DB-Treiber anzupassen. Was tun?
PostgreSQL erlaubt die parallele Verwendung seiner Verschlüsselungsverfahren. Wenn man von scram-sha-256 auf MD5 umstellt (oder umgekehrt), werden die Kennwörter bereits vorhandener Nutzer/innen nicht neu verschlüsselt – die Datenbank (und ihre Administrator/in) kennen sie i. d. R. ja gar nicht. Nur ab der Umstellung neu- oder wiedergesetzte Kennwörter werden mit MD5 verschlüsselt.
Die Kennwörter erhalten den Verschlüsselungsmodus als Präfix; der Blick in die PG-Systemtabelle zeigt bereits schlagend den kryptographischen Fortschritt von scram-sha-256 gegenüber MD5:
postgres=# SELECT rolpassword from pg_authid;
rolname | rolpassword
---------------------------+--------------------------------------------------
(…)
elbehnon | SCRAM-SHA-256$4096:oa9E3GgeZxjVsujrfSGLMw==$ktkYwSFG+wTxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
commento | md5a1a69d05bb091cc3458ab299abcxxxxx
Eine Aktualisierung der scram-sha-256-verschlüsselten Kennwörter ist nicht erforderlich, da PostgreSQL das Verfahren weiterhin anwendet. (Mögliche Performance-Beeinträchtigungen dürften irrelevant sein.)
Leider muss dafür MD5 als Standardverfahren definiert werden, ein isoliertes Aktivieren von MD5 für ein einzelnes Nutzerkonto ist m. W. nicht möglich.
Dies erfolgt via postgresql.conf über
password_encryption = md5Nach Aktivierung der Konfiguration, z. B. vermöge
pg_ctl reload -D /postgres/datadirist das Verfahren aktiviert; vgl. in der psql-Shell
SHOW password_encryption;Nun setzt man das Kennwort für den Commento-DB-Nutzer neu, z. B.
\password commentoNun aktiviert man in pg_hba.conf für den Commento-User noch MD5, z. B.
local commento commento md5Da das Kennwort nicht geändert werden musste, nur neu gesetzt, sollte der Commento nach dem Neustart nun eine Verbindung zur Datenbank erhalten und seine Installationsarbeiten fortsetzen können.
Zu beachten ist, dass künftige Kennwortänderungen mit der schwächeren MD5-Kodierung gespeichert werden, so dass u. U. für diese Aktionen ein vorübergehender Wechsel der Verschlüsselungsmethode zu scram-sha-256 angedacht werden sollte.
Leider ist Commento nicht das Gold, das es uns vorglänzt. Die Software ist gut, wird aber von den Hersteller/innen seit zwei Jahren nicht mehr konsequent gepflegt. Sie kümmern sich sowenig darum, dass sie sogar nützliche Erweiterungen aus der Entwicklergemeinde nicht integrieren, beispielsweise eine Erweiterung zur mehrsprachigen Einrichtung von Commento.
Ich habe daher zunächst selbst einige Übersetzungen ins Deutsche eingefügt, was angesichts der geringen Rezeption des Webcomics im nicht-deutschen Raum aktuell verschmerzt werden kann. Mittelfristig werde ich jedoch Commento selbst forken & kompilieren müssen.