|
|
|
Posted
almost 2 years
ago
by
KPTN
Présentation Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au
... [More]
standard.
Le logiciel est en PHP, sous licence GPL.
Fonctionnalités principales
Mode Samba (pour les mots de passe NT et LM)
Mode Active directory (pour les mots de passe AD)
Politique des mots de passe locale :
Taille minimale/maximale
Caractères interdits
Compteurs pour les majuscules, minuscules, chiffres et caractères spéciaux
Non réutilisation du mot de passe actuel
Complexité (nombre de classes de caractères différentes)
Messages d'aide
Réinitialisation par questions/réponses
Réinitialisation par un challenge par mail
reCAPTCHA (Google API)
Notification par mail après changement de mot de passe
L'application est désormais disponible en 6 langues : anglais, français, allemand, espagnol, brésilien et néerlandais.
Quelques liens
Présentation de Self Service Password
Captures d'écran
Téléchargement
Annonce officielle
Proposition de conférence à ConFoo 2012 (Votez !) [Less]
|
|
Posted
almost 2 years
ago
by
Clément OUDOT
|
|
Posted
almost 2 years
ago
by
Clément OUDOT
|
|
Posted
about 2 years
ago
by
Clément Oudot
|
|
Posted
about 2 years
ago
by
Clément Oudot
|
|
Posted
about 2 years
ago
by
KPTN
On n'est jamais mieux servi que par soi-même C'est en tout cas ce que chaque employé d'un service de support informatique vous dira. Traiter les demandes d'utilisateurs ayant perdu leur mot de passe, ou tout simplement voulant changer leur
... [More]
mot de passe, est une activité sans beaucoup de valeur ajoutée.
Pour tenter de réduire le temps investi sur ce sujet, des logiciels dits de "Self Service" sont arrivés. Le principe est simple : si l'utilisateur perd son mot de passe, il se rend sur l'application et demande un nouveau mot de passe, tout seul, comme un grand.
Génial, où est-ce qu'on peut l'acheter ?
Le projet LDAP Tool Box fournit une petite interface Web remplissant ce rôle, elle est nommée avec grande originalité Self Service Password (SSP pour les intimes).
SSP propose les fonctions suivantes :
Changement du mot de passe dans un annuaire LDAP
Support de Active Directory
Support de Samba
Politique des mots de passe locale (taille, types de caractères, etc.)
Réinitialisation par questions/réponses
Réinitialisation par challenge mail
Grâce à de nombreuses contributions, l'interface est disponible en français, anglais, allemand, espagnol, brésilien et hollandais.
La version 0.5 est sortie ce week-end (pas de repos pour les libristes), elle est disponible en archive simple, en paquet RPM ou paquet Debian. N'attendez plus pour l'essayer !
Annonce de la sortie de la version 0.5
Téléchargement
Captures d'écran
Documentation [Less]
|
|
Posted
about 2 years
ago
by
KPTN
La version 2.4.24 d'OpenLDAP est sortie en début d'année. Les RPMs ont été mis en ligne sur LTB-project et sont téléchargeables ici. Les paquets fournis par LTB-Project incluent en plus d'OpenLDAP un script d'initialisation et un
... [More]
module de contrôle de mot de passe pour l'overlay ppolicy.
Le script d'initialisation est en version 1.2, qui apporte en particulier une fonctionnalité supplémentaire : le démarrage en mode "debug". Cela permet de demander le lancement d'OpenLDAP dans la console avec un niveau de logs configurable (niveau "stats").
Par exemple :
root@ader:~# service slapd debug
slapd[3519]: [INFO] Using /etc/default/slapd for configuration
slapd[3524]: [INFO] Halting OpenLDAP...
slapd[3528]: [OK] OpenLDAP stopped after 1 seconds
slapd[3529]: [INFO] no data backup done
slapd[3530]: [INFO] Halting OpenLDAP replication...
slapd[3531]: [INFO] no replica found in configuration, aborting stopping slurpd
slapd[3532]: [INFO] Launching OpenLDAP replication...
slapd[3533]: [INFO] no replica found in configuration, aborting lauching slurpd
slapd[3534]: [INFO] no db_recover done
slapd[3535]: [INFO] Launching OpenLDAP...
slapd[3536]: [OK] file descriptor limit set to 1024
@(#) $OpenLDAP: slapd 2.4.23 (Dec 8 2010 14:28:30) $
clement@ader:/home/clement/Programmes/openldap-2.4.23/servers/slapd
slapd starting
conn=1000 fd=13 ACCEPT from IP=127.0.0.1:48634 (IP=0.0.0.0:389)
conn=1000 op=0 BIND dn="" method=128
conn=1000 op=0 RESULT tag=97 err=0 text=
connection_input: conn=1000 deferring operation: binding
conn=1000 op=1 SRCH base="" scope=2 deref=0 filter="(objectClass=*)"
conn=1000 op=1 SEARCH RESULT tag=101 err=32 nentries=0 text=
conn=1000 op=2 UNBIND
conn=1000 fd=13 closed
Liens :
Site du projet LTB
Annonce de la sortie des RPMs
Annonce de la sortie du script d'initialisation
Téléchargement [Less]
|
|
Posted
about 2 years
ago
by
Clément Oudot
|
|
Posted
about 2 years
ago
by
KPTN
La politique c'est pas fait pour les politiciens Rappelons d'abord qu'une politique des mots de passe est un ensemble de règles permettant : de contrôler les authentifications (blocage de compte après plusieurs tentatives
... [More]
infructueuses)
de contrôler les changements de mot de passe (expiration, force du mot de passe, réinitalisation à la prochaine connexion, présence dans un historique, etc.)
Samba et OpenLDAP sont sur un bateau
Pour ceux qui ont pratiqué Samba, il est assez simple de gérer la politique des mots de passe Samba (à l'aide des outils Samba ou des Samba LDAP tools). Cependant cette politique ne s'applique qu'à Samba, et ses mots de passes spécifiques (sambaLMPassword et sambaNTPassword).
Pour ceux qui ont pratiqué OpenLDAP, il est aussi assez simple de gérer la politique des mots de passe, en activant l'overlay ppolicy. Cependant cette politique ne s'applique qu'au mot de passe LDAP (userPassword).
Je ne veux voir qu'une politique !
C'est donc bien joli tout ça, mais il me faut une solution pour gérer de manière unique ces contraintes suivantes :
Taille du mot de passe au moins de 8 caractères
Stockage des 4 derniers mots de passe dans un historique
Bien entendu cela devra être appliqué pour une modification du mot de passe à travers Samba (donc potentiellement à travers la GINA Windows) et à travers une interface Web de changement de mot de passe LDAP.
Et on est bien d'accord que si je change le mot de passe LDAP par l'interface Web, les mots de passe Samba sont aussi mis à jour.
Et plus vite que ça !
Samba
Configurons Samba pour qu'il ne modifie que le mot de passe LDAP. En effet, on va déléguer le reste du travail à OpenLDAP :
# vi /etc/samba/smb.conf
---8<---
ldap passwd sync = only
---8<---
Cela va en fait indiquer à Samba de ne changer que le champ 'userPassword', et ne de pas toucher aux champs 'sambaLMPassword' et 'sambaNTPassword'.
À noter que Samba utilise l'opération étendue password modify pour changer le mot de passe.
OpenLDAP
Il faut activer deux overlays :
ppolicy : politique des mots de passe OpenLDAP (contrôle des authentifications et des changements de mot de passe)
smbk5pwd : modification des mots de passe Samba et Kerberos en parallèle du mot de passe LDAP, uniquement sur l'opération étendue de changement de mot de passe
L'overlay smbk5pwd n'est pas un overlay officiel, il se trouve dans le répertoire contribs/slapd-modules/smbk5pwd. Certains distributions l'incluent toutefois dans leurs paquetages OpenLDAP (par exemple CentOS), sinon il faut compiler l'overlay à la main.
# vi /etc/openldap/slapd.conf
---8<---
modulepath /usr/lib/openldap/
moduleload ppolicy.la
moduleload smbk5pwd.la
database bdb
overlay ppolicy
ppolicy_default ou=default,ou=ppolicy,dc=example,dc=com
overlay smbk5pwd
smbk5pwd-enable samba
---8<---
Et on configure par exemple la politique des mots de passe avec cette entrée :
dn: ou=default,ou=ppolicy,dc=example,dc=com
objectClass: organizationalUnit
objectClass: pwdPolicy
objectClass: top
ou: default
pwdAttribute: userPassword
pwdCheckQuality: 2
pwdInHistory: 4
pwdMinLength: 10
Croisons les doigts
Changement de mot de passe d'un utilisateur par Samba :
Mot de passe valide :
# smbpasswd coudot
New SMB password:
Retype new SMB password:
Mot de passe invalide (trop court ou dans l'historique) :
# smbpasswd coudot
New SMB password:
Retype new SMB password:
ldapsam_modify_entry: LDAP Password could not be changed for user coudot: Constraint violation
Password fails quality checking policy
Failed to modify entry for user coudot.
Failed to modify password entry for user coudot
L'erreur LDAP remontée est bien celle de la politique des mots de passe OpenLDAP.
Ça ira pour cette fois
Cette solution a le mérite de fonctionner, mais on s'aperçoit vite qu'il est impossible par exemple d'avoir un seul compteur d'authentification erronées (car Samba ne fait pas de BIND LDAP), ou encore d'avoir une seule information pour forcer la réinitialisation à la prochaine connexion.
Reste à espérer que les travaux sur Samba 4 amélioreront l'interopérabilité des deux politiques. [Less]
|
|
Posted
about 2 years
ago
by
Clément Oudot
|
Copyright
©
2013
Black Duck Software, Inc.
and its contributors, Some Rights Reserved. Unless otherwise marked, this work is licensed under a
Creative Commons Attribution 3.0 Unported License
. Ohloh
®
and the Ohloh logo are trademarks of
Black Duck Software, Inc.
in the United States and/or other jurisdictions. All other trademarks are the property of their respective holders.