Sortie de LTB Self Service Password 0.9

Posté par (page perso) . Édité par Benoît Sibaud et Xavier Teyssier. Modéré par Xavier Teyssier. Licence CC by-sa
Tags :
20
9
oct.
2015
Sécurité

Le logiciel Self Service Password est développé au sein du projet LDAP Tool Box : il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP (y compris Active Directory).

Outre le changement de mot de passe simple, l'interface propose de réinitialiser son mot de passe en cas de perte, soit par l'envoi d'un courriel, soit par la réponse à des questions, soit par l'envoi d'un SMS.

Le logiciel Self Service Password est écrit en PHP et est sous licence GPL. La version 0.9 est sortie le 8 septembre 2015.

Traductions

Grâce à la communauté des utilisateurs, l'interface est à présent disponible en 14 langues. Les nouvelles langues fournies dans la version 0.9 sont le chinois, le portugais, le slovaque et le slovène.

Sécurité

Il était possible d'utiliser LDAPS avec les précédentes versions, le support de StartTLS a été ajouté dans la version 0.9. StartTLS n'est pas supporté par tous les annuaires mais est conseillé à la place de LDAPS quand il est disponible.

Active Directory

Le support d'Active Directory a été amélioré : désormais un utilisateur ayant un mot de passe expiré ou dont la réinitialisation est obligatoire peut le changer à travers l'interface Self Service Password. Le changement de mot de passe en tant qu'utilisateur au niveau LDAP a été ajouté, grâce à l'utilisation de la méthode PHP ldap_modify_batch.

Samba

Si le compte utilisateur est un compte Samba, il est désormais possible de mettre à jour les attributs sambaPwdCanChange et sambaPwdMustChange, qui correspondent à l'âge minimal et maximal du mot de passe.

Post traitement

Suite au changement effectif du mot de passe, un script peut être exécuté afin de propager l'information à d'autres systèmes. Cela permet par exemple de modifier le mot de passe sur un second annuaire ou dans des bases de données.

  • # Mot de passe Active Directory

    Posté par (page perso) . Évalué à 2.

    J'ai toujours cru que les mots de passe Active Directory ne sont pas accessibles via LDAP.
    Ils sont stockés physiquement à part. J'en ai conclu qu'il n'y a pas d'accès LDAP, car je ne trouvais aucun moyen de les lire (ou du moins de lire le hachage).

    Cela veut peut-être dire que les mots de passe sont accessibles en écriture seule via LDAP ?

    • [^] # Re: Mot de passe Active Directory

      Posté par (page perso) . Évalué à 4.

      D'après la doc de MS, il a bien l'air accessible en écriture.

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: Mot de passe Active Directory

        Posté par (page perso) . Évalué à 2.

        Je confirme. Je le fais tous les ans en python via la lib python-ldap pour définir le mot de passe par défaut lors de la création des comptes élèves en début d'année. Il faut structurer le mot de passe en clair d'une façon particulière avant de l'injecter (encodé en utf 16 little endian et encadré par des guillemets), mais ça fonctionne très bien. ;)

        There is no spoon...

  • # DéGOOGLEisons internet !

    Posté par (page perso) . Évalué à 1.

    Dans le genre « déGOOGLEisons internet » n'y a-t-il pas moyen d'utiliser autre chose que reCAPTCHA ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.