SlideShare une entreprise Scribd logo

Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils de gestion

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Clément Oudot lors de la seconde édition des Identity Days.

Technologie
1  sur  25
Télécharger pour lire hors ligne
Politique des mots de passe des annuaires LDAP et outils de gestion Clément OUDOT 29 octobre 2020 Identity Days 2020
Clément OUDOT Identity Solutions Manager PRO : ● Worteks ● LemonLDAP::NG ● LDAP Tool Box ● LDAP Synchronization Connector ● FusionIAM ● W’Sweet PERSO : ● KPTN ● DonJon Legacy ● Improcité • « Mot de passe protégé » • Le standard LDAP “password policy” • Implémentation dans OpenLDAP • Les outils du projet LDAP Tool Box • Self Service Password • Service Desk AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
Mot de passe protégé Sur l’air de Femme Libérée de Cookie Dingler Souvent chiffré, mais parfois en clair Un mot de passe mal géré ça peut coûter cher Les attaquants ne font pas semblant Quand ils s’en prennent à ton compte, c’est pas très marrant Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ta date naissance, le nom de ton chat C’est pas comme si tu n’avais pas d’autre choix Essaye un peu de faire un effort Respecte les critères pour choisir un mot de passe fort Identity Days 2020 29 octobre 2020 Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Des majuscules, des chiffres mais aussi Des caractères spéciaux de la table ASCII Un mot de passe complexe, c’est pas compliqué Mais il faut bien l’apprendre pour ne pas l’oublier Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile
Le standard LDAP “password policy” Identity Days 2020 29 octobre 2020
Un standard encore en brouillon (draft) La politique des mots de passe est spécifiée à l’IETF, mais sous forme de brouillon Identity Days 2020 29 octobre 2020 https://tools.ietf.org/html/draft-behera-ldap-password-policy Première version publiée en 1999 La dernière version (10), publiée en 2009, est maintenant expirée
Contenu du standard Le standard porte sur : ● Le contrôle dans les requêtes et réponses LDAP ● Le schéma pour la configuration ● Les attributs opérationnels pour le statut de la politique pour chaque compte ● Le traitement des requêtes d’authentification et de changement de mot de passe Identity Days 2020 29 octobre 2020
Dialogue Client / Serveur Identity Days 2020 29 octobre 2020 Requête LDAP + Contrôle 1.3.6.1.4.1.42.2.27.8.5.1 Réponse LDAP + Contrôle PasswordPolicyResponseValue ::= SEQUENCE { warning [0] CHOICE { timeBeforeExpiration [0] INTEGER (0 .. maxInt), graceAuthNsRemaining [1] INTEGER (0 .. maxInt) } OPTIONAL, error [1] ENUMERATED { passwordExpired (0), accountLocked (1), changeAfterReset (2), passwordModNotAllowed (3), mustSupplyOldPassword (4), insufficientPasswordQuality (5), passwordTooShort (6), passwordTooYoung (7), passwordInHistory (8) } OPTIONAL }
Vérifications faites à l’authentification ● Expiration : refuser l’authentification si le mot de passe est expiré, ou gérer les grâces d’authentification ● Verrouillage : gérer le compteur d’authentification ratées, refuser l’authentification si le mot de passe est bloqué ● Forcer le changement : autoriser l’authentification mais forcer le changement de mot de passe ● Alertes : informer sur le temps avant expiration ou sur les grâces d’authentification restantes Identity Days 2020 29 octobre 2020
Vérification faites à la modification du mot de passe ● Longueur minimale ● Âge minimal ● Présence dans l’historique ● Complexité Identity Days 2020 29 octobre 2020 Le standard n’impose rien concernant la complexité
Implémentation dans OpenLDAP Identity Days 2020 29 octobre 2020
Le logiciel OpenLDAP ● Serveur conforme au standard LDAPv3 ● Licence compatible BSD (Logiciel Libre) ● Paquets Debian/Ubuntu/CentOS/RHEL disponibles dans le projet LDAP Tool Box Identity Days 2020 24 octobre 2020
Overlay ppolicy ● OpenLDAP 2.4 : Behera draft v9 ● OpenLDAP 2.5 : Behera draft v10 ● Principaux changements entre v9 et v10 : ● Taille maximale du mot de passe ● Délais d’authentification ● Calcul du temps de non utilisation ● Période de validité Identity Days 2020 29 octobre 2020
Configuration de l’overlay dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcPPolicyConfig olcOverlay: ppolicy olcPPolicyHashCleartext: TRUE olcPPolicyUseLockout: TRUE olcPPolicyForwardUpdates: FALSE Identity Days 2020 29 octobre 2020
Configuration des politiques ● Chaque politique est représentée par une entrée LDAP utilisant la classe d’objet pwdPolicy ● On peut ajouter la classe d’objet pwdPolicyChecker pour charge un module de vérification de la complexité ● Le projet LDAP Tool Box fournit un module nommé ppm : https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
Exemple d’entrée ppolicy dn: cn=default,ou=ppolicy,dc=example,dc=com objectClass: pwdPolicy objectClass: pwdPolicyChecker objectClass: device objectClass: top cn: default pwdAttribute: userPassword pwdCheckModule: ppm.so pwdAllowUserChange: TRUE pwdMustChange: TRUE pwdSafeModify : FALSE pwdCheckQuality: 2 Identity Days 2020 29 octobre 2020 pwdLockout: TRUE pwdMaxFailure: 10 pwdFailureCountInterval: 30 pwdLockoutDuration: 600 pwdExpireWarning: 0 pwdMaxAge: 31536000 pwdMinAge: 600 pwdGraceAuthnLimit: 2 pwdMinLength: 8 pwdInHistory: 10
Attributs opérationnels pour le statut ● pwdPolicySubentry : politique active pour ce compte ● pwdChangedTime : date de dernier changement de mot de passe ● pwdAccountLockedTime : date de verrouillage. Si la valeur est "000001010000Z", cela signifie que le compte est bloqué pour une durée indéterminée ● pwdFailureTime : listes des dates d’authentification ratées ● pwdHistory : historique des mots de passe ● pwdGraceUseTime : liste des dates de grâce d’authentifcation ● pwdReset : forcer le changement à la prochaine connexion Identity Days 2020 29 octobre 2020
Overlay lastbind Overlay spécifique pour mémoriser la date de dernière authentification réussie (attribut opérationel authTimestamp) dn: olcOverlay=lastbind,olcDatabase={1}mdb,cn=config objectClass: top objectClass: olcConfig objectClass: olcLastBindConfig objectClass: olcOverlayConfig olcOverlay: lastbind olcLastBindPrecision: 1 Identity Days 2020 29 octobre 2020
Ce que personne ne vous a jamais dit Verrouillage de compte : avoir une valeur dans l’attribut pwdAccountLockedTime ne signifie pas que le compte est bloqué. Si la date courante est supérieure à la date de verrouillage à laquelle est ajoutée la durée de blocage, alors le compte n’est plus verrouillé. L’attribut sera supprimé à la prochaine authentification. Réinitialisation du mot de passe : même si une réinitialisation du mot de passe est demandée, l’authentification est valide. OpenLDAP limite les opérations possibles ensuite pour n’autoriser que la modification du mot de passe. Cependant cela n’impacte pas les applications qui ne font qu’une requête d’authentification. Identity Days 2020 29 octobre 2020
Les outils du projet LDAP Tool Box Identity Days 2020 29 octobre 2020
Self Service Password Identity Days 2020 29 octobre 2020 ● Logiciel Libre (licence GPL) ● Destiné aux utilisateurs finaux ● Changement ou réinitialisation de mot de passe ● Utilisation d’un jeton par mail, SMS ou de questions de sécurité ● Modification de sa clé SSH ● Utilisation de la politique de l’annuaire ou d’une politique locale ● Fonctionne avec un annuaire LDAP standard et avec Active Directory
Service Desk Les problèmes rencontrés par les utilisateurs avec le système d’authentification sont souvent liées à un mot de passe perdu, expiré ou bloqué Les équipes de support ont rarement accès directement à l’annuaire LDAP et ne savent pas comment fonctionne la politique des mots de passe Les équipes de support ont besoin d’un outil qui donne rapidement le statut d’un compte afin d’aider les utilisateurs Identity Days 2020 29 octobre 2020
Service Desk ● Logiciel Libre (licence GPL) ● Destiné aux équipes de support ● Recherche d’un compte ● Affichage des attributs principaux ● Affichage du statut du compte ● Vérification du mot de passe courant ● Réinitialisation du mot de passe ● Verrouillage/déverrouillage Identity Days 2020 29 octobre 2020
Pour aller plus loin Identity Days 2020 29 octobre 2020
Quelques liens OpenLDAP https://www.openldap.org/ LDAP Tool Box https://ltb-project.org LDAP Tool Box Self Service Password https://github.com/ltb-project/self-service-password LDAP Tool Box Service Desk https://github.com/ltb-project/service-desk LDAP Tool Box ppm https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020

Recommandé

[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...Worteks
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service PasswordWorteks
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINIDLINAGORA
 

Recommandé

[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...Worteks
 
Projet Pki Etapes Clefs
Projet Pki Etapes ClefsProjet Pki Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service PasswordWorteks
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINIDLINAGORA
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreClément OUDOT
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !Clément OUDOT
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPClément OUDOT
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?Worteks
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
 
Denodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
 
22410B_00.pptx
22410B_00.pptx22410B_00.pptx
22410B_00.pptxAmineelbouabidi
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secretsOpen Source Experience
 
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 

Contenu connexe

Similaire à Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils de gestion

Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreClément OUDOT
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !Clément OUDOT
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPClément OUDOT
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?Worteks
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
 
Denodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secretsOpen Source Experience
 
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days
 

Similaire à Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils de gestion (20)

Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)
 
Denodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marché
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
22410B_00.pptx
22410B_00.pptx22410B_00.pptx
22410B_00.pptx
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secrets
 
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 

Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils de gestion

  • 1. Politique des mots de passe des annuaires LDAP et outils de gestion Clément OUDOT 29 octobre 2020 Identity Days 2020
  • 2. Clément OUDOT Identity Solutions Manager PRO : ● Worteks ● LemonLDAP::NG ● LDAP Tool Box ● LDAP Synchronization Connector ● FusionIAM ● W’Sweet PERSO : ● KPTN ● DonJon Legacy ● Improcité • « Mot de passe protégé » • Le standard LDAP “password policy” • Implémentation dans OpenLDAP • Les outils du projet LDAP Tool Box • Self Service Password • Service Desk AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
  • 3. Mot de passe protégé Sur l’air de Femme Libérée de Cookie Dingler Souvent chiffré, mais parfois en clair Un mot de passe mal géré ça peut coûter cher Les attaquants ne font pas semblant Quand ils s’en prennent à ton compte, c’est pas très marrant Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ta date naissance, le nom de ton chat C’est pas comme si tu n’avais pas d’autre choix Essaye un peu de faire un effort Respecte les critères pour choisir un mot de passe fort Identity Days 2020 29 octobre 2020 Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Des majuscules, des chiffres mais aussi Des caractères spéciaux de la table ASCII Un mot de passe complexe, c’est pas compliqué Mais il faut bien l’apprendre pour ne pas l’oublier Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile
  • 4. Le standard LDAP “password policy” Identity Days 2020 29 octobre 2020
  • 5. Un standard encore en brouillon (draft) La politique des mots de passe est spécifiée à l’IETF, mais sous forme de brouillon Identity Days 2020 29 octobre 2020 https://tools.ietf.org/html/draft-behera-ldap-password-policy Première version publiée en 1999 La dernière version (10), publiée en 2009, est maintenant expirée
  • 6. Contenu du standard Le standard porte sur : ● Le contrôle dans les requêtes et réponses LDAP ● Le schéma pour la configuration ● Les attributs opérationnels pour le statut de la politique pour chaque compte ● Le traitement des requêtes d’authentification et de changement de mot de passe Identity Days 2020 29 octobre 2020
  • 7. Dialogue Client / Serveur Identity Days 2020 29 octobre 2020 Requête LDAP + Contrôle 1.3.6.1.4.1.42.2.27.8.5.1 Réponse LDAP + Contrôle PasswordPolicyResponseValue ::= SEQUENCE { warning [0] CHOICE { timeBeforeExpiration [0] INTEGER (0 .. maxInt), graceAuthNsRemaining [1] INTEGER (0 .. maxInt) } OPTIONAL, error [1] ENUMERATED { passwordExpired (0), accountLocked (1), changeAfterReset (2), passwordModNotAllowed (3), mustSupplyOldPassword (4), insufficientPasswordQuality (5), passwordTooShort (6), passwordTooYoung (7), passwordInHistory (8) } OPTIONAL }
  • 8. Vérifications faites à l’authentification ● Expiration : refuser l’authentification si le mot de passe est expiré, ou gérer les grâces d’authentification ● Verrouillage : gérer le compteur d’authentification ratées, refuser l’authentification si le mot de passe est bloqué ● Forcer le changement : autoriser l’authentification mais forcer le changement de mot de passe ● Alertes : informer sur le temps avant expiration ou sur les grâces d’authentification restantes Identity Days 2020 29 octobre 2020
  • 9. Vérification faites à la modification du mot de passe ● Longueur minimale ● Âge minimal ● Présence dans l’historique ● Complexité Identity Days 2020 29 octobre 2020 Le standard n’impose rien concernant la complexité
  • 10. Implémentation dans OpenLDAP Identity Days 2020 29 octobre 2020
  • 11. Le logiciel OpenLDAP ● Serveur conforme au standard LDAPv3 ● Licence compatible BSD (Logiciel Libre) ● Paquets Debian/Ubuntu/CentOS/RHEL disponibles dans le projet LDAP Tool Box Identity Days 2020 24 octobre 2020
  • 12. Overlay ppolicy ● OpenLDAP 2.4 : Behera draft v9 ● OpenLDAP 2.5 : Behera draft v10 ● Principaux changements entre v9 et v10 : ● Taille maximale du mot de passe ● Délais d’authentification ● Calcul du temps de non utilisation ● Période de validité Identity Days 2020 29 octobre 2020
  • 13. Configuration de l’overlay dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcPPolicyConfig olcOverlay: ppolicy olcPPolicyHashCleartext: TRUE olcPPolicyUseLockout: TRUE olcPPolicyForwardUpdates: FALSE Identity Days 2020 29 octobre 2020
  • 14. Configuration des politiques ● Chaque politique est représentée par une entrée LDAP utilisant la classe d’objet pwdPolicy ● On peut ajouter la classe d’objet pwdPolicyChecker pour charge un module de vérification de la complexité ● Le projet LDAP Tool Box fournit un module nommé ppm : https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
  • 15. Exemple d’entrée ppolicy dn: cn=default,ou=ppolicy,dc=example,dc=com objectClass: pwdPolicy objectClass: pwdPolicyChecker objectClass: device objectClass: top cn: default pwdAttribute: userPassword pwdCheckModule: ppm.so pwdAllowUserChange: TRUE pwdMustChange: TRUE pwdSafeModify : FALSE pwdCheckQuality: 2 Identity Days 2020 29 octobre 2020 pwdLockout: TRUE pwdMaxFailure: 10 pwdFailureCountInterval: 30 pwdLockoutDuration: 600 pwdExpireWarning: 0 pwdMaxAge: 31536000 pwdMinAge: 600 pwdGraceAuthnLimit: 2 pwdMinLength: 8 pwdInHistory: 10
  • 16. Attributs opérationnels pour le statut ● pwdPolicySubentry : politique active pour ce compte ● pwdChangedTime : date de dernier changement de mot de passe ● pwdAccountLockedTime : date de verrouillage. Si la valeur est "000001010000Z", cela signifie que le compte est bloqué pour une durée indéterminée ● pwdFailureTime : listes des dates d’authentification ratées ● pwdHistory : historique des mots de passe ● pwdGraceUseTime : liste des dates de grâce d’authentifcation ● pwdReset : forcer le changement à la prochaine connexion Identity Days 2020 29 octobre 2020
  • 17. Overlay lastbind Overlay spécifique pour mémoriser la date de dernière authentification réussie (attribut opérationel authTimestamp) dn: olcOverlay=lastbind,olcDatabase={1}mdb,cn=config objectClass: top objectClass: olcConfig objectClass: olcLastBindConfig objectClass: olcOverlayConfig olcOverlay: lastbind olcLastBindPrecision: 1 Identity Days 2020 29 octobre 2020
  • 18. Ce que personne ne vous a jamais dit Verrouillage de compte : avoir une valeur dans l’attribut pwdAccountLockedTime ne signifie pas que le compte est bloqué. Si la date courante est supérieure à la date de verrouillage à laquelle est ajoutée la durée de blocage, alors le compte n’est plus verrouillé. L’attribut sera supprimé à la prochaine authentification. Réinitialisation du mot de passe : même si une réinitialisation du mot de passe est demandée, l’authentification est valide. OpenLDAP limite les opérations possibles ensuite pour n’autoriser que la modification du mot de passe. Cependant cela n’impacte pas les applications qui ne font qu’une requête d’authentification. Identity Days 2020 29 octobre 2020
  • 19. Les outils du projet LDAP Tool Box Identity Days 2020 29 octobre 2020
  • 20. Self Service Password Identity Days 2020 29 octobre 2020 ● Logiciel Libre (licence GPL) ● Destiné aux utilisateurs finaux ● Changement ou réinitialisation de mot de passe ● Utilisation d’un jeton par mail, SMS ou de questions de sécurité ● Modification de sa clé SSH ● Utilisation de la politique de l’annuaire ou d’une politique locale ● Fonctionne avec un annuaire LDAP standard et avec Active Directory
  • 21. Service Desk Les problèmes rencontrés par les utilisateurs avec le système d’authentification sont souvent liées à un mot de passe perdu, expiré ou bloqué Les équipes de support ont rarement accès directement à l’annuaire LDAP et ne savent pas comment fonctionne la politique des mots de passe Les équipes de support ont besoin d’un outil qui donne rapidement le statut d’un compte afin d’aider les utilisateurs Identity Days 2020 29 octobre 2020
  • 22. Service Desk ● Logiciel Libre (licence GPL) ● Destiné aux équipes de support ● Recherche d’un compte ● Affichage des attributs principaux ● Affichage du statut du compte ● Vérification du mot de passe courant ● Réinitialisation du mot de passe ● Verrouillage/déverrouillage Identity Days 2020 29 octobre 2020
  • 23. Pour aller plus loin Identity Days 2020 29 octobre 2020
  • 24. Quelques liens OpenLDAP https://www.openldap.org/ LDAP Tool Box https://ltb-project.org LDAP Tool Box Self Service Password https://github.com/ltb-project/self-service-password LDAP Tool Box Service Desk https://github.com/ltb-project/service-desk LDAP Tool Box ppm https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
  • 25. Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020