Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révisionLes deux révisions suivantes |
informatique:reseau:ldap:ppolicy [2020/11/23 11:10] – [Installation] bn8 | informatique:reseau:ldap:ppolicy [2021/03/01 10:51] – [Installation] bn8 |
---|
Il faut ensuite activer ce module pour votre //database// : | Il faut ensuite activer ce module pour votre //database// : |
* Créer le fichier ///tmp/config-module.ldif// : <code bash>cat << EOF > /tmp/config-module.ldif | * Créer le fichier ///tmp/config-module.ldif// : <code bash>cat << EOF > /tmp/config-module.ldif |
dn: olcOverlay={0}ppolicy,olcDatabase={1}hdb,cn=config | dn: olcOverlay={0}ppolicy,olcDatabase={1}mdb,cn=config |
objectclass: olcOverlayConfig | objectclass: olcOverlayConfig |
objectclass: olcPPolicyConfig | objectclass: olcPPolicyConfig |
# Ou : | # Ou : |
ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-module.ldif</code> | ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/config-module.ldif</code> |
| |
| **Paramètres de configuration au niveau de la database :** |
| * **olcPPolicyHashCleartext :** si ''TRUE'', les mots de passes soumis en clair lors d'une opération d'ajout ou de modification seront hâché (avec le type par défaut du serveur). |
| * **olcPPolicyUseLockout :** Bien que le serveur refusera toujours la connexion avec un compte bloqué (erreur //AccountLocked//), si ce paramètre vaut ''TRUE'', le serveur retournera le code d'erreur spécifique ''AccountLocked''. |
| * **olcPPolicyForwardUpdates (serveur esclave uniquement) :** si ''TRUE'', les échecs de connexions sur le serveur seront transmis au serveur maître. **Note:** pour fonctionner, cette fonctionnalité nécessite que le paramètre ''olcUpdateRef'' et l'overlay [[chain]] soient configurés sur la database. |
| |
Il faut ensuite ajouter l'objet LDAP dans votre base LDAP implémentant la politique par défaut des mots de passes : | Il faut ensuite ajouter l'objet LDAP dans votre base LDAP implémentant la politique par défaut des mots de passes : |
* Créer le fichier ///tmp/add-default-ppolicy.ldif// : <code bash>cat << EOF > /tmp/add-default-ppolicy.ldif | * Créer le fichier ///tmp/add-default-ppolicy.ldif// : <code bash>cat << EOF > /tmp/add-default-ppolicy.ldif |
* dn: ou=ppolicies,dc=example,dc=com | dn: ou=ppolicies,dc=example,dc=com |
objectclass: organizationalUnit | objectclass: organizationalUnit |
ou: ppolicies | ou: ppolicies |
EOF</code> | EOF</code> |
| |
* Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,dc=example,dc=com -W -f /tmp/add-default-ppolicy.ldif</code> | * Jouer ce LDIF avec //ldapadd// : <code bash>ldapadd -x -D cn=admin,dc=example,dc=com -W -f /tmp/add-default-ppolicy.ldif |
| # Ou : |
| ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/add-default-ppolicy.ldif</code> |
| |
<note important>La configuration de la politique par défaut proposée ci-dessus n'active pour ainsi dire aucune protection fourni par cette overlay. Il est conseillé d'ajuster les différents paramètres de la politique en fonction du besoin (voir ci-dessous).</note> | <note important>La configuration de la politique par défaut proposée ci-dessus n'active pour ainsi dire aucune protection fourni par cette overlay. Il est conseillé d'ajuster les différents paramètres de la politique en fonction du besoin (voir ci-dessous).</note> |
| |
Pour plus d'informations, [[https://www.zytrax.com/books/ldap/ch6/ppolicy.html||consulter cette documentation du module]]. | Pour plus d'informations, [[https://www.zytrax.com/books/ldap/ch6/ppolicy.html|consulter cette documentation du module]]. |
===== Configuration de la politique de mot de passe ===== | ===== Configuration de la politique de mot de passe ===== |
| |
* **pwdMinAge** : durée minimale en secondes entre deux changements de mot de passe. Par défaut : ''0'', c'est à dire qu'il n'y a pas de durée minimale. | * **pwdMinAge** : durée minimale en secondes entre deux changements de mot de passe. Par défaut : ''0'', c'est à dire qu'il n'y a pas de durée minimale. |
* **pwdMinLength** : longeur minimale d'un mot de passe. Par défaut : ''0'', c'est à dire qu'il n'y a pas de longeur minimale. **Note :** Si le mot de passe est fourni hashé lors du changement, ce test ne peut être réalisé et la politique définie par **pwdCheckQuality** s'applique alors. | * **pwdMinLength** : longeur minimale d'un mot de passe. Par défaut : ''0'', c'est à dire qu'il n'y a pas de longeur minimale. **Note :** Si le mot de passe est fourni hashé lors du changement, ce test ne peut être réalisé et la politique définie par **pwdCheckQuality** s'applique alors. |
* **pwdMustChange :** booléen définissant si l'utilisateur doit changer son mot de passe après qu'un administrateur est débloqué son compte (utile uniquement si ''pwdLockout==TRUE''). **Note :** si l'attribut **pwdReset** est défini sur le compte, sa valeur outrepasse ce paramètre. | * **pwdMustChange :** booléen définissant si l'utilisateur doit changer son mot de passe après qu'un administrateur ait débloqué son compte (utile uniquement si ''pwdLockout==TRUE''). **Note :** si l'attribut **pwdReset** est défini sur le compte, sa valeur outrepasse ce paramètre. |
* ''FALSE'' (par défaut) : l'utilisateur n'a pas à changer son mot de passe | * ''FALSE'' (par défaut) : l'utilisateur n'a pas à changer son mot de passe |
* ''TRUE'' : l'utilisateur doit changer son mot de passe | * ''TRUE'' : l'utilisateur doit changer son mot de passe |