Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP, y compris Active Directory ou Samba 4, ainsi que leur clef SSH. Des webservices REST sont également disponibles.
Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée.
Le logiciel Self Service Password est écrit en PHP et est sous licence publique générale GNU. Le projet LDAP Tool Box a reçu un OW2 Community Award en 2021, en particulier grâce à la popularité de Self Service Password.
La version 1.5 est sortie le 2 septembre 2022. Les principales nouveautés de cette version sont présentées dans la suite de l’article.
Support de Argon2
Argon2 est un mécanisme de hachage disponible dans les annuaires récents, en particulier OpenLDAP. Self Service Password peut se charger d’encoder le mot de passe avec Argon2 avant de le soumettre à l’annuaire. Bien entendu il est toujours possible de laisser cette opération à l’annuaire qui encodera le mot de passe transmis en clair, ce qui lui permettra d’effectuer des vérifications supplémentaires de son côté.
Gestion des attributs multiples
Dans les organisations les plus importantes, les informations comme le mail ou le numéro de mobile peuvent être stockées dans des attributs LDAP différents. Par exemple un mail principal, un mail secondaire, un mail professionnel, un mail personnel…
Le logiciel Self Service Password peut désormais parcourir une liste d’attributs et récupérera le mail ou le mobile dans le premier attribut où une valeur sera présente.
Utilisation de l’API SMS Signal
Une des méthodes de réinitialisation de mot de passe s’appuie sur l’envoi d’un code par SMS. Pour cela il faut appeler une API.
Des connecteurs pour LinkMobility, Twilio et OVH existaient déjà. Dans cette nouvelle version, un connecteur pour Signal a fait son apparition, utilisant la commande signal-cli.
Aller plus loin
- Dépêche sur la sortie de la version 1.4 (64 clics)
- Annonce sur le site du consortium OW2 (28 clics)
- Site web du projet LDAP Tool Box (141 clics)
- Documentation de Self Service Password (40 clics)
- Code source (33 clics)
- Présentation de Self Service Password à l'AFUP Lyon (82 clics)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.