Sortie de LDAP Tool Box Self Service Password 1.1

Posté par (page perso) . Édité par Davy Defaud et Xavier Claude. Modéré par Xavier Claude. Licence CC by-sa
24
4
sept.
2017
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clé SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS.

Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe ou à l’identifiant.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.1 est sortie le 1er septembre 2017.

Changement de la clé SSH

Un onglet permet désormais à un utilisateur de mettre à jour sa clé SSH dans l’annuaire, en s’authentifiant avec son nom d’utilisateur et son mot de passe.

Méthodes de hachage du mot de passe

Le mot de passe peut désormais être haché avec les mécanismes SHA-2 (SHA256/SHA384/SHA512/SSHA256/SSHA384/SSHA512).

Sécurité

Le phrase de passe permettant le chiffrement des jetons doit désormais être obligatoirement changée. D’autres correctifs dans la version 1.1 concernent également la sécurité, comme la mise à jour de la bibliothèque PHPMailer ou la compatibilité avec des restrictions de PHP.

SMS API

Depuis cette nouvelle version, il est possible d’utiliser une API SMS pour envoyer les messages de réinitialisation, alors que jusqu’à présent seul le mode « mail2sms » était possible. Reste à écrire le code nécessaire à l’envoi du SMS par rapport au fournisseur choisi, soit directement en PHP, soit dans un script appelé par le code PHP.

  • # Mots de passe Active Directory

    Posté par (page perso) . Évalué à 2 (+0/-0).

    À ma connaissance, les mots de passe Active Directory ne sont pas stockés dans l'annuaire tel quel, mais dans « la base SAM ». La base en question étant disjointe, ce qui évite toutes possibilités de fuite via une interrogation LDAP.
    Mes connaissances sont-elles fausses, où le journal fait-il un raccourci ?

    • [^] # Re: Mots de passe Active Directory

      Posté par (page perso) . Évalué à 3 (+1/-0).

      Les mots de passe sont bien stockés dans Active Directory (attribut unicodePwd), il est donc possible de les modifier par une requête LDAP.

      • [^] # Re: Mots de passe Active Directory

        Posté par (page perso) . Évalué à 3 (+1/-0). Dernière modification le 06/09/17 à 16:01.

        Ça, ça m'intéresse.
        On peut donc :
          1. sauvegarder le mot de passe d'un utilisateur
          2. modifier le mot de passe
          3. se connecter en son nom, par exemple sur son poste en dehors de ses heures de travail
          4. faire le job, par exemple installer/configurer un logiciel de gestion bien crade qui prend des plombes à paramétrer
          5. restaurer le mot de passe à sa valeur initiale
        On a donc pu intervenir avec son compte, sans avoir à connaître son mot de passe.
        J'ai bon ?

        À moins que cet attribut soit en lecture seule.
        C'est peut-être ça qui me bloquait la dernière fois que j'ai tenté l'aventure.

        • [^] # Re: Mots de passe Active Directory

          Posté par (page perso) . Évalué à 2 (+1/-0).

          L'attribut est en lecture seul.

          Idem pour userPassword

          Le userPassword est lisible dans certain cas (utilisation du compte pour de l'autologon de poste je crois). Du coup une petite recherche (&(objectClass=user)(userPassword=*)) donne des fois quelques surprises :)

          A noter que le pwdlastset est mis à jour à chaque changement de mot de passe.

          • [^] # Re: Mots de passe Active Directory

            Posté par (page perso) . Évalué à 3 (+1/-0).

            En fait c'est un peu le contraire : l'attribut unicodePwd est en écriture seule. Il est donc possible de modifier sa valeur, mais impossible de la lire, donc de sauvegarder la valeur initiale.

            Il semblerait que l'attribut userPassword dans AD ait à peu près les mêmes propriétés : https://msdn.microsoft.com/en-us/library/cc223249.aspx

            Quoi qu'il en soit, cela n'empêche pas le logiciel Self Service Password de faire son travail : l'utilisateur peut modifier le mot de passe de son compte dans AD via une interface Web.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.