LDAP Tool Box : création du projet Service Desk

Posté par (page perso) . Édité par Davy Defaud. Modéré par Ysabeau. Licence CC by-sa.
33
2
avr.
2020
Sécurité

Le projet LDAP Tool Box regroupe de nombreux outils pour l’installation, l’administration et l’utilisation des annuaires LDAP, et en particulier OpenLDAP.

Après Self Service Password, interface de changement de mot de passe, White Pages, permettant de rechercher et afficher les utilisateurs et groupes, voici le dernier né de la famille : Service Desk.

Capture d’écran de Service Desk

Service Desk est une interface Web pour vérifier, débloquer et modifier les mots de passe des comptes d’un annuaire LDAP. Il est publié sous licence GPL v3.

Histoire du projet

Travaillant chez Worteks, je participe au développement et au support de W’Sweet, une solution collaborative basée sur des logiciels libres comme BlueMind, Nextcloud, Rocket.Chat, Jitsi Meet, LemonLDAP::NG et OpenLDAP.

La solution est hébergée en SaaS, et repose donc sur un annuaire LDAP pour la gestion des comptes et des groupes. Nous avons dès le départ mis en place un mécanisme de réinitialisation d’un mot de passe perdu, mais celui‑ci reposant sur un courriel, cela nécessite que l’utilisateur fournisse une adresse de courriel de secours (l’adresse principale n’étant accessible qu’avec le mot de passe perdu…). Le résultat est que, dans la plupart des cas, l’utilisateur doit se tourner vers le support, qui doit faire le changement sur l’annuaire.

Les choses n’étant jamais simples, un utilisateur peut croire qu’il a perdu son mot de passe car il n’arrive plus à s’authentifier. Cependant, avec la politique des mots de passe OpenLDAP, un refus d’authentification peut aussi signifier que le compte est bloqué (suite à des attaques, ou une application mal configurée), ou que le mot de passe a expiré. Il est donc nécessaire de prendre la bonne décision et d’avoir les outils adéquats pour répondre à l’utilisateur et lui permettre de se connecter de nouveau. D’autre part, l’outil doit être assez efficace pour être délégué à un support de niveau 1, et éviter d’avoir à déranger les administrateurs de la plate‑forme pour des demandes simples.

De ce constat est né le logiciel Service Desk, ses fonctionnalités sont décrites dans le prochain chapitre.

Fonctionnalités

L’interface assez similaire à celle du produit White Pages. Un champ de recherche permet de retrouver le compte d’un utilisateur dans l’annuaire.

Sur sa fiche sont présentés ses principaux attributs (permettant principalement de le contacter) ainsi que le statut du compte. Ce statut repose sur les attributs opérationnels de son entrée LDAP, comme la date de modification, la dernière authentification, le dernier changement de mot de passe, les authentifications ratées, la date de blocage, etc. L’analyse de ces informations permet souvent de comprendre rapidement la situation de l’utilisateur.

Un formulaire permet de tester le mot de passe actuel. Ainsi, si l’utilisateur assure que son mot de passe ne fonctionne pas, il est possible de vérifier l’authentification directement sur l’annuaire et, si elle fonctionne, se tourner vers le paramétrage de l’application de l’utilisateur.

Un autre formulaire permet de changer le mot de passe, avec la possibilité d’en forcer le changement à la prochaine connexion de l’utilisateur.

Si le compte est bloqué, une alerte est affichée. Si le blocage est temporaire, la date à laquelle le compte redeviendra actif est présentée. Dans tous les cas, un bouton permet de débloquer immédiatement l’utilisateur.

Enfin, une alerte est également affichée si le mot de passe est expiré.

Conclusion

Le logiciel vient juste de sortir, avec un spectre fonctionnel limité mais suffisant pour faciliter la vie d’un certain nombre de personnes. La politique des mots de passe n’étant pas standardisée, Service Desk ne fonctionne pour le moment qu’avec OpenLDAP (et les annuaires suivant la même implémentation). N’hésitez pas à le tester et à proposer des évolutions !

Aller plus loin

  • # Degooglisons...

    Posté par (page perso) . Évalué à 9 (+8/-0).

    À l'heure où de plus en plus de systèmes d'identification/authentification reposent sur des opérateurs dominants (GAFAM), les outils de la LDAP Tool Box sont vraiment les bienvenus.

    Bravo !

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.