SlideShare une entreprise Scribd logo
1  sur  42
Télécharger pour lire hors ligne
Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022
David Coutadeur
27 octobre 2022 - PARIS
Identity Days 2022
La politique de mots de passe :
de la théorie à la pratique avec
OpenLDAP
David Coutadeur
Architecte en gestion d’identité
~ 10 ans d’ancienneté
Expert en gestion d’identité
Passionné d’open-source
david.coutadeur@worteks.com
@dcoutadeur
Ordre du jour
27 octobre 2022 - PARIS
Identity Days 2022
1. Présentation
2. LDAP et OpenLDAP
3. Introduction aux politiques de MdP
4. Etat des lieux des politiques de MdP
5. L’overlay password policy
6. Présentation de ppm
7. Fonctionnalités de ppm
8. Conclusion
Présentation
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Service
Infrastructures hétérogènes et complexes,
cloud, authentification, securité

Etudes, audit et
consulting

Expertise technique

Support technique

Formation

R&D et innovation
Édition
Portail d'applications
collaboratif
Plateforme
mutualisée de
développement
Gestion des identités
des accès
Partenaires
LDAP et OpenLDAP
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
• protocole d’annuaire

annuaire = recueil d’informations, historiquement liées à l’identité

ensemble de données

beaucoup d’enregistrements de petite taille

souvent lus, rarement mis à jour

recherches simples

« Lightweight Directory Access Protocol »

issu de X.500, apparu à la fin des années 1980

plus léger par rapport à X.500 DAP et DSP

LDAP = protocole d’annuaire électronique (1993)

standardisé dans plusieurs RFC (RFC 4511)

LDAPv3 : 1998
Qu’est-ce que le LDAP ?
Identity Days 2022
27 octobre 2022 - PARIS
Qu’est-ce que le LDAP ?
Identity Days 2022

la communication client serveur

au dessus de TCP / IP

l’encodage (LBER)

les mécanismes de sécurité

authentification (simple, SASL,…)

chiffrement des flux

règles d’accès aux données

les 9 opérations de base

bind, unbind, abandon, search, compare, add,
modify, delete, modrdn

le modèle d’information (schéma)

le modèle de nommage (DIT)
Client Annuaire
Connexion
Authentification
Authentification réussie
Recherche
Résultat de la recherche
Modification d'une entrée
Erreur lors de la modification
Ajout d'une entrée
Entrée ajoutée
Déconnexion
Le protocole définit :
Identity Days 2022
27 octobre 2022 - PARIS
Présentation d’OpenLDAP

issu du serveur LDAP de l'université du Michigan, dont dérive
également Netscape Directory Server

projet initié en 1998 (OpenLDAP v1), avec support LDAPv2

conforme LDAPv3 en 2000 (OpenLDAP v2)

version LTS actuelle : OpenLDAP 2.5.13

version « feature release » : OpenLDAP 2.6.3

3 développeurs principaux :

Howard Chu

Ondřej Kuzník

Quanah Gibson-Mount
Historique
Identity Days 2022
27 octobre 2022 - PARIS
Présentation d’OpenLDAP

OpenLDAP Public License, dérivée de la GNU GPL
Caractéristiques

LDAPv3

réplication multi-maître, complète et différentielle

moteur syncrepl

Content Synchronization Operation (RFC 4533)

délégation d’authentification SASL / GSSAPI

internationalisation UTF-8 via Unicode

serveur LDAP

bibliothèques de connexion

commandes LDAP

commandes de gestion du contenu

API (C, C++, TCL, Java)
contient supporte
Identity Days 2022
27 octobre 2022 - PARIS
Présentation d’OpenLDAP
Choix d'overlays : politique des mots de passe, listes dynamiques, intégrité référentielle
Fonctionnement
Backend = composant
qui stocke ou traite des
données en réponse à
une requête ldap
Overlay = extension pour
personnaliser le
comportement des
backends
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox

projet lancée en 2009

supporté par : une association indépendante à but non lucratif visant à promouvoir une base de
logiciels d’infrastructure open-source

Community Award d’OW2 reçu en 2021 !

à l’origine :

fournir des didacticiels, des listes de diffusion et des scripts pour exploiter des annuaires LDAP

aujourd’hui :

la base de code et de tutoriels s’est étendue

LTB-project propose des logiciels complets
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox

des paquets communautaires pour OpenLDAP

les paquets des principales distributions Linux sont souvent en retard dans les versions distribuées

fourniture de paquets RPM et DEB à jour

CLI pour configurer, administrer, superviser l’annuaire

extensions (overlays) supplémentaires

des scripts d’exploitation

notification d’expiration par mail, conversion LDIF, statistiques, nettoyage,...
Services proposés par LDAP-toolbox
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox

une base documentaire

https://ltb-project-documentation.readthedocs.io

installation, configuration des paquets openldap-ltb

supervision, statistiques LDAP avec et

documentation des applicatifs LTB

tutoriels divers : migration d’annuaire, délégation d’authentification,...
Services proposés par LDAP-toolbox
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox

une interface web de gestion dédiée aux administrateurs : Service Desk

tableaux de bord pour visualiser les comptes et leur statut (bloqués, expirés)

test d'un mot de passe

réinitialisation d'un mot de passe

blocage, déblocage d'un compte
Services proposés par LDAP-toolbox
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox

une interface web de gestion pour les utilisateurs : White Pages

les informations principales sont affichées :

adresse mail

identité

téléphone

photo

récupération possible d'une identité au format vCard
Services proposés par LDAP-toolbox
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox

une interface web de self-service-password

réinitialisation du mot de passe en autonomie par
l’utilisateur :

par connaissance du mot de passe actuel

par une vérification du mail

par une vérification par SMS

par une vérification par question / réponses

support des politiques de mots de passe
Services proposés par LDAP-toolbox
Introduction aux politiques de MdP
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP
« ensemble de règles visant à améliorer la sécurité, en encourageant les
utilisateurs à recourir à des mots de passe relativement robustes et en les
utilisant correctement »
Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP

Pas de norme universelle

recommandations du NIST

recommandations de l’ANSSI

recommandations de la CNIL du 07/22 (tableau de correspondance / ANSSI)

Normes changeantes avec le temps

Guide NIST de 2004 : utilisation de majuscules, minuscules, chiffres, avec
obligation de changer périodiquement

Guide NIST de 2007 : 8 → 64 caractères, pas d’obligation d’imposer plusieurs
classes de caractères, pas d’obligation de changement périodique
Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP

Recommandations ANSSI :

« Recommandations relatives à l'authentification multifacteur et aux mots
de passe - v2.0 du 08/10/2021 »

longueur ≥ 9 : faible, longueur ≥ 12 : moyen, longueur ≥ 15 : fort

pas de longueur maximale

plusieurs classes de caractères (à définir suivant le contexte)

pas de délai d’expiration pour les comptes non sensibles

délai d’expiration pour les comptes sensibles
Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP

contrôle de la robustesse : règles de la politique, comparaison à une base de
mots de passe fréquemment utilisée, interdiction de la réutilisation d’un ancien
mot de passe, repérage des motifs basés sur les noms, prénoms,…

stockage avec sel, hash Argon2 ou PBKDF2 recommandé

privilégier l’authentification multi-facteurs : clé FIDO2 par exemple
Voir aussi la conférence :

« Authentification multi-facteurs et gestion du risque avec du logiciel 100 % libre »
Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP

pas de spécification universelle

AD, OpenDJ,... : implémentations spécifiques

IETF internet draft : "Password Policy for LDAP Directories"

draft-behera-ldap-password-policy (version 00 : octobre 1999, version 11 :
février 2022), implémenté dans plusieurs serveurs d’annuaire :

OpenLDAP password policy overlay

SUN Directory Server

Tivoli Directory Server

Fedora Directory Server

Red-Hat Directory Server
Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP

version 11, février 2022, expire le 26 août 2022

définit :

les spécifications fonctionnelles de la politique de mots de passe

le schéma LDAP et les attributs opérationnels pour supporter les politiques

le contrôle étendu « ppolicy » pour les requêtes et les réponses

la façon dont le serveur devrait / doit inclure la politique dans les opérations
LDAP (bind, modify,…)

la façon dont les clients devraient / doivent inclure la politique dans les
opérations LDAP (bind, modify,…)
Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP

des considérations générales pour gérer les politiques (le scope défini par
l’attribut SubtreeSpecification, la surcharge de politique)

des considérations sur la réplication et la sécurité

ne définit pas : (spécifique à chaque implémentation)

l’application des critères de politiques de mots de passe

une façon automatique de forcer la réinitialisation de mot de passe après
qu’une modification ait été faite par un administrateur
L’overlay Password Policy
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy

OpenLDAP implémente le brouillon IETF :

le schéma LDAP et les attributs opérationnels

le contrôle étendu ppolicy pour les requêtes et réponses

l’implémentation serveur

l’implémentation cliente (ldapsearch, ldapmodify,...)
Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy

Récemment implémenté (OpenLDAP ≥ 2.5) :

support de la protection contre les attaques par brute-force, basée sur les
attributs pwdMinDelay et pwdMaxDelay

support du verrouillage basé sur les attributs pwdLastSuccess et pwdMaxIdle

support de la taille maximale (attribut pwdMaxLength)

support des dates de validité (attributs pwdStartTime et pwdEndTime)

Pas encore implémenté

Politique de mots de passe gérée par « étendue » dans le DIT ou par groupe
Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy
Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy

L’attribut pwdCheckModule stockant l’emplacement de la bibliothèque
complémentaire évolue en version 2.6 d’OpenLDAP : il est maintenant défini
dans la configuration et non plus dans la politique

empêche d’avoir plusieurs modules étendus de politiques

permet de meilleures performances car le module est chargé au démarrage

L’attribut pwdCheckModuleArg permettant de transmettre les paramètres de la
politique étendue est apparu avec la version 2.5 d’OpenLDAP

avant la version 2.5, ppm devait récupérer sa configuration en fichier plat
Présentation de ppm
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de ppm
Architecture de ppm

implémente les règles de robustesse intéressantes et populaires qui manquent
à slapo-ppolicy → OK

extensible → jusqu’à un certain point (plugin de 800 lignes en C)

efficace → non critique (car appelé seulement en cas de changement de MdP)

sécurisé → TODO (audit de code)
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de ppm
ppm en bref

code en C, bibliothèque dynamique (.so), ~ 800 lignes

implémente des règles complémentaires de robustesse de mot de passe

configuration dans l’attribut pwdCheckModuleArg, transmis par l’overlay ppolicy

Code :

dépôt officiel : https://github.com/ltb-project/ppm

disponible dans les sources d’OpenLDAP (répertoire contrib/slapd-modules/ppm)

contient les sources pour compiler la librairie, l’exécutable de test vérifiant la force
des mots de passe, la documentation
Identity Days 2022
27 octobre 2022 - PARIS
Présentation de ppm
ppm en bref

packaging :

disponible dans les paquets openldap-ltb pour Debian, Red-Hat :

dans openldap-ltb pour les versions ≥ 2.5.13 et 2.6.3

dans openldap-ltb-contrib-overlays pour les versions inférieures

Dernière version : v2.2, 17 mai 2022

Licence : OpenLDAP Public License
Fonctionnalités de ppm
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Fonctionnalités de ppm
Paramètres des classes de caractères

définition des classes de caractères

minQuality

min (pour chaque classe)

min_for_point (pour chaque classe)

max (pour chaque classe)
minQuality 3
class-upperCase ABCDEFGHIJKLMNOPQRSTUVWXYZ 0 1 0
class-lowerCase abcdefghijklmnopqrstuvwxyz 0 1 0
Class-digit 0123456789 0 1 0
class-special <>,?;.:/!§ù%*µ^¨$£²&é~"#' 0 1 0
Exemple de politique :
Identity Days 2022
27 octobre 2022 - PARIS
Fonctionnalités de ppm
Autres paramètres de robustesse

checkRDN

checkAttributes

forbiddenChars

maxConsecutivePerClass

useCracklib

cracklibDict
checkRDN 1
checkAttributes mail
forbiddenChars £€
maxConsecutivePerClass 8
useCracklib 1
cracklibDict /var/cache/cracklib/cracklib_dict
dn: uid=daniel.jackson,ou=people,dc=my-domain,dc=com

nouveau mot de passe : secret → OK

nouveau mot de passe : daniel → KO
Exemple de politique :
Critère checkRDN :
Conclusion
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Conclusion
Avec l’overlay ppolicy + ppm, on peut implémenter toutes les recommandations
actuelles

Rejeter les modifications de mots de passe suivant le contexte :

attributs dans l’entrée LDAP

attributs liés à l’entrée LDAP (groupe,…)

environnement : @IP du client, date de requête,...

Appliquer la politique à des groupes d’utilisateurs

fonctionnalité mentionnée dans les tickets de la 2.7
Axes d’amélioration
Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022

Contenu connexe

Similaire à La politique de mots de passe : de la théorie à la pratique avec OpenLDAP

Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinID
Clément OUDOT
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Clément OUDOT
 
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
CERTyou Formation
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINID
LINAGORA
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
CERTyou Formation
 

Similaire à La politique de mots de passe : de la théorie à la pratique avec OpenLDAP (20)

Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinID
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
 
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
 
Chap1 p1-introduction
Chap1 p1-introductionChap1 p1-introduction
Chap1 p1-introduction
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINID
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Introduction aux bases de données NoSQL
Introduction aux bases de données NoSQLIntroduction aux bases de données NoSQL
Introduction aux bases de données NoSQL
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
 
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
 

Plus de Identity Days

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. David Coutadeur 27 octobre 2022 - PARIS Identity Days 2022 La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
  • 3. David Coutadeur Architecte en gestion d’identité ~ 10 ans d’ancienneté Expert en gestion d’identité Passionné d’open-source david.coutadeur@worteks.com @dcoutadeur Ordre du jour 27 octobre 2022 - PARIS Identity Days 2022 1. Présentation 2. LDAP et OpenLDAP 3. Introduction aux politiques de MdP 4. Etat des lieux des politiques de MdP 5. L’overlay password policy 6. Présentation de ppm 7. Fonctionnalités de ppm 8. Conclusion
  • 4. Présentation Identity Days 2022 27 octobre 2022 - PARIS
  • 5. Identity Days 2022 27 octobre 2022 - PARIS Identity Days 2022 27 octobre 2022 - PARIS Service Infrastructures hétérogènes et complexes, cloud, authentification, securité  Etudes, audit et consulting  Expertise technique  Support technique  Formation  R&D et innovation Édition Portail d'applications collaboratif Plateforme mutualisée de développement Gestion des identités des accès Partenaires
  • 6. LDAP et OpenLDAP Identity Days 2022 27 octobre 2022 - PARIS
  • 7. Identity Days 2022 27 octobre 2022 - PARIS • protocole d’annuaire  annuaire = recueil d’informations, historiquement liées à l’identité  ensemble de données  beaucoup d’enregistrements de petite taille  souvent lus, rarement mis à jour  recherches simples  « Lightweight Directory Access Protocol »  issu de X.500, apparu à la fin des années 1980  plus léger par rapport à X.500 DAP et DSP  LDAP = protocole d’annuaire électronique (1993)  standardisé dans plusieurs RFC (RFC 4511)  LDAPv3 : 1998 Qu’est-ce que le LDAP ?
  • 8. Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que le LDAP ? Identity Days 2022  la communication client serveur  au dessus de TCP / IP  l’encodage (LBER)  les mécanismes de sécurité  authentification (simple, SASL,…)  chiffrement des flux  règles d’accès aux données  les 9 opérations de base  bind, unbind, abandon, search, compare, add, modify, delete, modrdn  le modèle d’information (schéma)  le modèle de nommage (DIT) Client Annuaire Connexion Authentification Authentification réussie Recherche Résultat de la recherche Modification d'une entrée Erreur lors de la modification Ajout d'une entrée Entrée ajoutée Déconnexion Le protocole définit :
  • 9. Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP  issu du serveur LDAP de l'université du Michigan, dont dérive également Netscape Directory Server  projet initié en 1998 (OpenLDAP v1), avec support LDAPv2  conforme LDAPv3 en 2000 (OpenLDAP v2)  version LTS actuelle : OpenLDAP 2.5.13  version « feature release » : OpenLDAP 2.6.3  3 développeurs principaux :  Howard Chu  Ondřej Kuzník  Quanah Gibson-Mount Historique
  • 10. Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP  OpenLDAP Public License, dérivée de la GNU GPL Caractéristiques  LDAPv3  réplication multi-maître, complète et différentielle  moteur syncrepl  Content Synchronization Operation (RFC 4533)  délégation d’authentification SASL / GSSAPI  internationalisation UTF-8 via Unicode  serveur LDAP  bibliothèques de connexion  commandes LDAP  commandes de gestion du contenu  API (C, C++, TCL, Java) contient supporte
  • 11. Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP Choix d'overlays : politique des mots de passe, listes dynamiques, intégrité référentielle Fonctionnement Backend = composant qui stocke ou traite des données en réponse à une requête ldap Overlay = extension pour personnaliser le comportement des backends
  • 12. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  projet lancée en 2009  supporté par : une association indépendante à but non lucratif visant à promouvoir une base de logiciels d’infrastructure open-source  Community Award d’OW2 reçu en 2021 !  à l’origine :  fournir des didacticiels, des listes de diffusion et des scripts pour exploiter des annuaires LDAP  aujourd’hui :  la base de code et de tutoriels s’est étendue  LTB-project propose des logiciels complets
  • 13. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  des paquets communautaires pour OpenLDAP  les paquets des principales distributions Linux sont souvent en retard dans les versions distribuées  fourniture de paquets RPM et DEB à jour  CLI pour configurer, administrer, superviser l’annuaire  extensions (overlays) supplémentaires  des scripts d’exploitation  notification d’expiration par mail, conversion LDIF, statistiques, nettoyage,... Services proposés par LDAP-toolbox
  • 14. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une base documentaire  https://ltb-project-documentation.readthedocs.io  installation, configuration des paquets openldap-ltb  supervision, statistiques LDAP avec et  documentation des applicatifs LTB  tutoriels divers : migration d’annuaire, délégation d’authentification,... Services proposés par LDAP-toolbox
  • 15. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de gestion dédiée aux administrateurs : Service Desk  tableaux de bord pour visualiser les comptes et leur statut (bloqués, expirés)  test d'un mot de passe  réinitialisation d'un mot de passe  blocage, déblocage d'un compte Services proposés par LDAP-toolbox
  • 16. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de gestion pour les utilisateurs : White Pages  les informations principales sont affichées :  adresse mail  identité  téléphone  photo  récupération possible d'une identité au format vCard Services proposés par LDAP-toolbox
  • 17. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de self-service-password  réinitialisation du mot de passe en autonomie par l’utilisateur :  par connaissance du mot de passe actuel  par une vérification du mail  par une vérification par SMS  par une vérification par question / réponses  support des politiques de mots de passe Services proposés par LDAP-toolbox
  • 18. Introduction aux politiques de MdP Identity Days 2022 27 octobre 2022 - PARIS
  • 19. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP « ensemble de règles visant à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes et en les utilisant correctement »
  • 20. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  Pas de norme universelle  recommandations du NIST  recommandations de l’ANSSI  recommandations de la CNIL du 07/22 (tableau de correspondance / ANSSI)  Normes changeantes avec le temps  Guide NIST de 2004 : utilisation de majuscules, minuscules, chiffres, avec obligation de changer périodiquement  Guide NIST de 2007 : 8 → 64 caractères, pas d’obligation d’imposer plusieurs classes de caractères, pas d’obligation de changement périodique
  • 21. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  Recommandations ANSSI :  « Recommandations relatives à l'authentification multifacteur et aux mots de passe - v2.0 du 08/10/2021 »  longueur ≥ 9 : faible, longueur ≥ 12 : moyen, longueur ≥ 15 : fort  pas de longueur maximale  plusieurs classes de caractères (à définir suivant le contexte)  pas de délai d’expiration pour les comptes non sensibles  délai d’expiration pour les comptes sensibles
  • 22. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  contrôle de la robustesse : règles de la politique, comparaison à une base de mots de passe fréquemment utilisée, interdiction de la réutilisation d’un ancien mot de passe, repérage des motifs basés sur les noms, prénoms,…  stockage avec sel, hash Argon2 ou PBKDF2 recommandé  privilégier l’authentification multi-facteurs : clé FIDO2 par exemple Voir aussi la conférence :  « Authentification multi-facteurs et gestion du risque avec du logiciel 100 % libre »
  • 23. Identity Days 2022 27 octobre 2022 - PARIS
  • 24. Etat des lieux des politiques de MdP Identity Days 2022 27 octobre 2022 - PARIS
  • 25. Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  pas de spécification universelle  AD, OpenDJ,... : implémentations spécifiques  IETF internet draft : "Password Policy for LDAP Directories"  draft-behera-ldap-password-policy (version 00 : octobre 1999, version 11 : février 2022), implémenté dans plusieurs serveurs d’annuaire :  OpenLDAP password policy overlay  SUN Directory Server  Tivoli Directory Server  Fedora Directory Server  Red-Hat Directory Server
  • 26. Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  version 11, février 2022, expire le 26 août 2022  définit :  les spécifications fonctionnelles de la politique de mots de passe  le schéma LDAP et les attributs opérationnels pour supporter les politiques  le contrôle étendu « ppolicy » pour les requêtes et les réponses  la façon dont le serveur devrait / doit inclure la politique dans les opérations LDAP (bind, modify,…)  la façon dont les clients devraient / doivent inclure la politique dans les opérations LDAP (bind, modify,…)
  • 27. Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  des considérations générales pour gérer les politiques (le scope défini par l’attribut SubtreeSpecification, la surcharge de politique)  des considérations sur la réplication et la sécurité  ne définit pas : (spécifique à chaque implémentation)  l’application des critères de politiques de mots de passe  une façon automatique de forcer la réinitialisation de mot de passe après qu’une modification ait été faite par un administrateur
  • 28. L’overlay Password Policy Identity Days 2022 27 octobre 2022 - PARIS
  • 29. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  OpenLDAP implémente le brouillon IETF :  le schéma LDAP et les attributs opérationnels  le contrôle étendu ppolicy pour les requêtes et réponses  l’implémentation serveur  l’implémentation cliente (ldapsearch, ldapmodify,...)
  • 30. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  Récemment implémenté (OpenLDAP ≥ 2.5) :  support de la protection contre les attaques par brute-force, basée sur les attributs pwdMinDelay et pwdMaxDelay  support du verrouillage basé sur les attributs pwdLastSuccess et pwdMaxIdle  support de la taille maximale (attribut pwdMaxLength)  support des dates de validité (attributs pwdStartTime et pwdEndTime)  Pas encore implémenté  Politique de mots de passe gérée par « étendue » dans le DIT ou par groupe
  • 31. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy
  • 32. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  L’attribut pwdCheckModule stockant l’emplacement de la bibliothèque complémentaire évolue en version 2.6 d’OpenLDAP : il est maintenant défini dans la configuration et non plus dans la politique  empêche d’avoir plusieurs modules étendus de politiques  permet de meilleures performances car le module est chargé au démarrage  L’attribut pwdCheckModuleArg permettant de transmettre les paramètres de la politique étendue est apparu avec la version 2.5 d’OpenLDAP  avant la version 2.5, ppm devait récupérer sa configuration en fichier plat
  • 33. Présentation de ppm Identity Days 2022 27 octobre 2022 - PARIS
  • 34. Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm Architecture de ppm  implémente les règles de robustesse intéressantes et populaires qui manquent à slapo-ppolicy → OK  extensible → jusqu’à un certain point (plugin de 800 lignes en C)  efficace → non critique (car appelé seulement en cas de changement de MdP)  sécurisé → TODO (audit de code)
  • 35. Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm ppm en bref  code en C, bibliothèque dynamique (.so), ~ 800 lignes  implémente des règles complémentaires de robustesse de mot de passe  configuration dans l’attribut pwdCheckModuleArg, transmis par l’overlay ppolicy  Code :  dépôt officiel : https://github.com/ltb-project/ppm  disponible dans les sources d’OpenLDAP (répertoire contrib/slapd-modules/ppm)  contient les sources pour compiler la librairie, l’exécutable de test vérifiant la force des mots de passe, la documentation
  • 36. Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm ppm en bref  packaging :  disponible dans les paquets openldap-ltb pour Debian, Red-Hat :  dans openldap-ltb pour les versions ≥ 2.5.13 et 2.6.3  dans openldap-ltb-contrib-overlays pour les versions inférieures  Dernière version : v2.2, 17 mai 2022  Licence : OpenLDAP Public License
  • 37. Fonctionnalités de ppm Identity Days 2022 27 octobre 2022 - PARIS
  • 38. Identity Days 2022 27 octobre 2022 - PARIS Fonctionnalités de ppm Paramètres des classes de caractères  définition des classes de caractères  minQuality  min (pour chaque classe)  min_for_point (pour chaque classe)  max (pour chaque classe) minQuality 3 class-upperCase ABCDEFGHIJKLMNOPQRSTUVWXYZ 0 1 0 class-lowerCase abcdefghijklmnopqrstuvwxyz 0 1 0 Class-digit 0123456789 0 1 0 class-special <>,?;.:/!§ù%*µ^¨$£²&é~"#' 0 1 0 Exemple de politique :
  • 39. Identity Days 2022 27 octobre 2022 - PARIS Fonctionnalités de ppm Autres paramètres de robustesse  checkRDN  checkAttributes  forbiddenChars  maxConsecutivePerClass  useCracklib  cracklibDict checkRDN 1 checkAttributes mail forbiddenChars £€ maxConsecutivePerClass 8 useCracklib 1 cracklibDict /var/cache/cracklib/cracklib_dict dn: uid=daniel.jackson,ou=people,dc=my-domain,dc=com  nouveau mot de passe : secret → OK  nouveau mot de passe : daniel → KO Exemple de politique : Critère checkRDN :
  • 40. Conclusion Identity Days 2022 27 octobre 2022 - PARIS
  • 41. Identity Days 2022 27 octobre 2022 - PARIS Conclusion Avec l’overlay ppolicy + ppm, on peut implémenter toutes les recommandations actuelles  Rejeter les modifications de mots de passe suivant le contexte :  attributs dans l’entrée LDAP  attributs liés à l’entrée LDAP (groupe,…)  environnement : @IP du client, date de requête,...  Appliquer la politique à des groupes d’utilisateurs  fonctionnalité mentionnée dans les tickets de la 2.7 Axes d’amélioration
  • 42. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022