Sortie de LDAP Tool Box Self Service Password 1.4

Posté par  (site Web personnel) . Édité par Benoît Sibaud. Modéré par Xavier Claude. Licence CC By‑SA.
Étiquettes :
24
13
mai
2021
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH.

Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.

Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. La version 1.4 est sortie le 20 avril 2021. Les nouveautés de cette version sont présentées dans la suite de l’article.

Framework Smarty

Mieux vaut tard que jamais, un framework de présentation est désormais utilisé pour séparer le code métier de l’affichage. Comme pour les autres produits développés au sein du projet LTB (White Pages et Service Desk), c’est le framework Smarty qui a été choisi.

Prehook

Les précédentes versions possédaient déjà un mécanisme de posthook : un script peut être exécuté après la modification du mot de passe pour par exemple le transmettre à d’autres référentiels. L’équivalent a été ajouté en prehook, qui permet d’appeler un script avant le changement du mot de passe. Cela est utile pour implémenter ses propres contrôles de qualité du mot de passe.

API REST

Il est désormais possible d’interagir avec le logiciel via une API REST. Celle-ci dispose de trois méthodes :

  • Vérification de la qualité du mot de passe
  • Changement de mot de passe avec vérification de l’ancien mot de passe
  • Changement de mot de passe sans vérification de l’ancien mot de passe

Ceci permet de définir sa politique des mots de passe dans Self Service Password et de l’utiliser depuis d’autres logiciels.

Questions/Réponses

Il était déjà possible d’enregistrer une réponse à une question de sécurité pour pouvoir réinitialiser ensuite son mot de passe. Ce mécanisme a été enrichi pour permettre d’exiger plusieurs questions/réponses pour réinitialiser le mot de passe.

Multi tenants

Via l’envoi d’un en-tête HTTP, on peut désormais charger une configuration différente pour le logiciel. Cela permet de n’installer le logiciel qu’une seule fois mais de l’utiliser pour des annuaires/populations différentes.

Image officielle Docker

Une image Docker officielle est désormais fournie et disponible sur Docker Hub.

Usages avancés du protocole LDAP

On garde le meilleur pour la fin ! Les récentes évolutions du langage PHP et surtout de php-ldap permettent désormais d’utiliser quelques extensions du protocole LDAP :

  • Opération étendue de changement de mot de passe
  • Contrôle étendu ppolicy (password policy)

L’utilisation du contrôle ppolicy améliore la remontée d’erreur lorsque le mot de passe est refusé par l’annuaire. On sait désormais si l’annuaire rejette le mot de passe parce qu’il est trop court, trop récent, trop faible ou déjà présent dans l’historique. Cela permet de reposer en partie sur la politique des mots de passe de l’annuaire.

Aller plus loin

  • # image docker non-officielle

    Posté par  . Évalué à 2 (+2/-0).

    Pour ceux que cela intéresse j'avais réalisé une image Docker pour les trois applications de LTB (white-pages/service-desk/self-service-password) avant qu'ils ne prennent l'initiative de réaliser leur propre image pour Self-Service-Password. Toujours pertinente au vu qu'il n'y a pas encore d'image officielle pour les autres app.

    Par contre je ne savais même pas pour la fonctionnalité Multi tenants oO, merci de l'information.

    • [^] # Re: image docker non-officielle

      Posté par  (site Web personnel) . Évalué à 2 (+0/-0).

      En effet, et merci pour ces images dont nous nous sommes inspirés. Nous avons aussi une image pour Service Desk (https://hub.docker.com/r/ltbproject/service-desk) et nous allons en faire une pour White Pages. Elles sont mises à jour à chaque modification de code sur le dépot git, et j'en publie en fonction des différentes releases.

      • [^] # Re: image docker non-officielle

        Posté par  . Évalué à 1 (+1/-0).

        Super!

        Vous faites le build avec Github-CI non ? Pour avoir essayé de faire du multi-arch avec très récemment (compilation du module LDAP pqChecker), c'était mission impossible de faire quelque chose de propre (je suis preneur sur le sujet)…

        Pour ma part j'ai eu besoin de faire du multi-arch car mon serveur "de prod" est un RaspberryPi… :)

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.