Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box : il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP (y compris Active Directory).
Outre le changement de mot de passe simple, l'interface propose de réinitialiser son mot de passe en cas de perte, soit par l'envoi d'un courriel, soit par la réponse à des questions, soit par l'envoi d'un SMS.
Le logiciel Self Service Password est écrit en PHP et est sous licence GPL. La version 0.9 est sortie le 8 septembre 2015.
Traductions
Grâce à la communauté des utilisateurs, l'interface est à présent disponible en 14 langues. Les nouvelles langues fournies dans la version 0.9 sont le chinois, le portugais, le slovaque et le slovène.
Sécurité
Il était possible d'utiliser LDAPS avec les précédentes versions, le support de StartTLS a été ajouté dans la version 0.9. StartTLS n'est pas supporté par tous les annuaires mais est conseillé à la place de LDAPS quand il est disponible.
Active Directory
Le support d'Active Directory a été amélioré : désormais un utilisateur ayant un mot de passe expiré ou dont la réinitialisation est obligatoire peut le changer à travers l'interface Self Service Password. Le changement de mot de passe en tant qu'utilisateur au niveau LDAP a été ajouté, grâce à l'utilisation de la méthode PHP ldap_modify_batch.
Samba
Si le compte utilisateur est un compte Samba, il est désormais possible de mettre à jour les attributs sambaPwdCanChange et sambaPwdMustChange, qui correspondent à l'âge minimal et maximal du mot de passe.
Post traitement
Suite au changement effectif du mot de passe, un script peut être exécuté afin de propager l'information à d'autres systèmes. Cela permet par exemple de modifier le mot de passe sur un second annuaire ou dans des bases de données.
Aller plus loin
- Documentation de la nouvelle version (272 clics)
- Téléchargement (130 clics)
- Annonce sur le site du projet (145 clics)
- Précédente dépêche sur LinuxFr.org (122 clics)
# Mot de passe Active Directory
Posté par Kerro . Évalué à 2.
J'ai toujours cru que les mots de passe Active Directory ne sont pas accessibles via LDAP.
Ils sont stockés physiquement à part. J'en ai conclu qu'il n'y a pas d'accès LDAP, car je ne trouvais aucun moyen de les lire (ou du moins de lire le hachage).
Cela veut peut-être dire que les mots de passe sont accessibles en écriture seule via LDAP ?
[^] # Re: Mot de passe Active Directory
Posté par claudex . Évalué à 4.
D'après la doc de MS, il a bien l'air accessible en écriture.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Mot de passe Active Directory
Posté par madhatter (site web personnel) . Évalué à 2.
Je confirme. Je le fais tous les ans en python via la lib python-ldap pour définir le mot de passe par défaut lors de la création des comptes élèves en début d'année. Il faut structurer le mot de passe en clair d'une façon particulière avant de l'injecter (encodé en utf 16 little endian et encadré par des guillemets), mais ça fonctionne très bien. ;)
There is no spoon...
[^] # Re: Mot de passe Active Directory
Posté par KPTN (site web personnel, Mastodon) . Évalué à 3.
En effet, le mot de passe est stocké dans l'attribut unicodePwd. Il est accessible en écriture si la connexion est en LDAPS. Il n'est jamais accessible en lecture.
# DéGOOGLEisons internet !
Posté par Space_e_man (site web personnel) . Évalué à 1.
Dans le genre « déGOOGLEisons internet » n'y a-t-il pas moyen d'utiliser autre chose que reCAPTCHA ?
[^] # Re: DéGOOGLEisons internet !
Posté par KPTN (site web personnel, Mastodon) . Évalué à 2.
Ce serait avec plaisir. J'avais intégré reCaptacha suite à une contribution sur le sujet mais je suis preneur d'autres solutions de captcha libres.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.