<div dir="ltr">You are also using http instead of https..so the passwords are sent in clear text.</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, May 8, 2014 at 6:08 PM, Grant Gainey <span dir="ltr"><<a href="mailto:ggainey@redhat.com" target="_blank">ggainey@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">----- Original Message -----<br>
> We would like to use a hashed password with the API. Example below:<br>
<br>
</div>Your example seems to just use the API with a password like usual?<br>
<br>
><br>
> # !/usr/bin/python import xmlrpclib<br>
<div class="">><br>
> SATELLITE_URL = " <a href="http://satellite.example.com/rpc/api" target="_blank">http://satellite.example.com/rpc/api</a> " SATELLITE_LOGIN =<br>
> "username" SATELLITE_PASSWORD = "password" client = xmlrpclib.Server<br>
> (SATELLITE_URL , verbose = 0 ) key = client.auth.login (SATELLITE_LOGIN ,<br>
</div>> SATELLITE_PASSWORD ) list = client.user.list_users (key) for user in list :<br>
<div class="">> print user.get ( 'login' ) client.auth.logout (key)<br>
><br>
><br>
> Will this cause any problems in other areas? Will it work at all?<br>
<br>
</div>What are you trying to accomplish, really?<br>
<br>
If it's "tell customers that their password is never known by the SW server" - well, let's see.  You could set up their accounts by asking them for a password, salt+hash that string, binhex it, and use *that* as their SW password.  Then, to use the API, give them a script/application that asked them for their 'real' password and replicated the process before talking to SW. Basically, the salthash'd string *is* their pwd, from SW's POV, but SW never knows the string the user remembers.<br>

<br>
On the other hand, if you're trying to protect your SW admin's pwd from prying eyes - well, sooner or later, *something* has to call login.  And whatever you call the Thing that login accepts, it needs to be secure, or a nosey user of your script is still going to end up with the ability to trash your SW instance :)<br>

<br>
But I think maybe I'm not understanding what you're trying to do.  Can you give us more context?<br>
<br>
G<br>
<br>
><br>
> _______________________________________________<br>
> Spacewalk-list mailing list<br>
> <a href="mailto:Spacewalk-list@redhat.com">Spacewalk-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/spacewalk-list" target="_blank">https://www.redhat.com/mailman/listinfo/spacewalk-list</a><br>
<br>
_______________________________________________<br>
Spacewalk-list mailing list<br>
<a href="mailto:Spacewalk-list@redhat.com">Spacewalk-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/spacewalk-list" target="_blank">https://www.redhat.com/mailman/listinfo/spacewalk-list</a><br>
</blockquote></div><br></div>