SlideShare une entreprise Scribd logo

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par David Coutadeur lors des Identity Days 2022.

Technologie
1  sur  42
Télécharger pour lire hors ligne
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
David Coutadeur 27 octobre 2022 - PARIS Identity Days 2022 La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
David Coutadeur Architecte en gestion d’identité ~ 10 ans d’ancienneté Expert en gestion d’identité Passionné d’open-source david.coutadeur@worteks.com @dcoutadeur Ordre du jour 27 octobre 2022 - PARIS Identity Days 2022 1. Présentation 2. LDAP et OpenLDAP 3. Introduction aux politiques de MdP 4. Etat des lieux des politiques de MdP 5. L’overlay password policy 6. Présentation de ppm 7. Fonctionnalités de ppm 8. Conclusion
Présentation Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Identity Days 2022 27 octobre 2022 - PARIS Service Infrastructures hétérogènes et complexes, cloud, authentification, securité  Etudes, audit et consulting  Expertise technique  Support technique  Formation  R&D et innovation Édition Portail d'applications collaboratif Plateforme mutualisée de développement Gestion des identités des accès Partenaires
LDAP et OpenLDAP Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS • protocole d’annuaire  annuaire = recueil d’informations, historiquement liées à l’identité  ensemble de données  beaucoup d’enregistrements de petite taille  souvent lus, rarement mis à jour  recherches simples  « Lightweight Directory Access Protocol »  issu de X.500, apparu à la fin des années 1980  plus léger par rapport à X.500 DAP et DSP  LDAP = protocole d’annuaire électronique (1993)  standardisé dans plusieurs RFC (RFC 4511)  LDAPv3 : 1998 Qu’est-ce que le LDAP ?
Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que le LDAP ? Identity Days 2022  la communication client serveur  au dessus de TCP / IP  l’encodage (LBER)  les mécanismes de sécurité  authentification (simple, SASL,…)  chiffrement des flux  règles d’accès aux données  les 9 opérations de base  bind, unbind, abandon, search, compare, add, modify, delete, modrdn  le modèle d’information (schéma)  le modèle de nommage (DIT) Client Annuaire Connexion Authentification Authentification réussie Recherche Résultat de la recherche Modification d'une entrée Erreur lors de la modification Ajout d'une entrée Entrée ajoutée Déconnexion Le protocole définit :
Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP  issu du serveur LDAP de l'université du Michigan, dont dérive également Netscape Directory Server  projet initié en 1998 (OpenLDAP v1), avec support LDAPv2  conforme LDAPv3 en 2000 (OpenLDAP v2)  version LTS actuelle : OpenLDAP 2.5.13  version « feature release » : OpenLDAP 2.6.3  3 développeurs principaux :  Howard Chu  Ondřej Kuzník  Quanah Gibson-Mount Historique
Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP  OpenLDAP Public License, dérivée de la GNU GPL Caractéristiques  LDAPv3  réplication multi-maître, complète et différentielle  moteur syncrepl  Content Synchronization Operation (RFC 4533)  délégation d’authentification SASL / GSSAPI  internationalisation UTF-8 via Unicode  serveur LDAP  bibliothèques de connexion  commandes LDAP  commandes de gestion du contenu  API (C, C++, TCL, Java) contient supporte
Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP Choix d'overlays : politique des mots de passe, listes dynamiques, intégrité référentielle Fonctionnement Backend = composant qui stocke ou traite des données en réponse à une requête ldap Overlay = extension pour personnaliser le comportement des backends
Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  projet lancée en 2009  supporté par : une association indépendante à but non lucratif visant à promouvoir une base de logiciels d’infrastructure open-source  Community Award d’OW2 reçu en 2021 !  à l’origine :  fournir des didacticiels, des listes de diffusion et des scripts pour exploiter des annuaires LDAP  aujourd’hui :  la base de code et de tutoriels s’est étendue  LTB-project propose des logiciels complets
Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  des paquets communautaires pour OpenLDAP  les paquets des principales distributions Linux sont souvent en retard dans les versions distribuées  fourniture de paquets RPM et DEB à jour  CLI pour configurer, administrer, superviser l’annuaire  extensions (overlays) supplémentaires  des scripts d’exploitation  notification d’expiration par mail, conversion LDIF, statistiques, nettoyage,... Services proposés par LDAP-toolbox
Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une base documentaire  https://ltb-project-documentation.readthedocs.io  installation, configuration des paquets openldap-ltb  supervision, statistiques LDAP avec et  documentation des applicatifs LTB  tutoriels divers : migration d’annuaire, délégation d’authentification,... Services proposés par LDAP-toolbox
Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de gestion dédiée aux administrateurs : Service Desk  tableaux de bord pour visualiser les comptes et leur statut (bloqués, expirés)  test d'un mot de passe  réinitialisation d'un mot de passe  blocage, déblocage d'un compte Services proposés par LDAP-toolbox
Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de gestion pour les utilisateurs : White Pages  les informations principales sont affichées :  adresse mail  identité  téléphone  photo  récupération possible d'une identité au format vCard Services proposés par LDAP-toolbox
Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de self-service-password  réinitialisation du mot de passe en autonomie par l’utilisateur :  par connaissance du mot de passe actuel  par une vérification du mail  par une vérification par SMS  par une vérification par question / réponses  support des politiques de mots de passe Services proposés par LDAP-toolbox
Introduction aux politiques de MdP Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP « ensemble de règles visant à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes et en les utilisant correctement »
Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  Pas de norme universelle  recommandations du NIST  recommandations de l’ANSSI  recommandations de la CNIL du 07/22 (tableau de correspondance / ANSSI)  Normes changeantes avec le temps  Guide NIST de 2004 : utilisation de majuscules, minuscules, chiffres, avec obligation de changer périodiquement  Guide NIST de 2007 : 8 → 64 caractères, pas d’obligation d’imposer plusieurs classes de caractères, pas d’obligation de changement périodique
Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  Recommandations ANSSI :  « Recommandations relatives à l'authentification multifacteur et aux mots de passe - v2.0 du 08/10/2021 »  longueur ≥ 9 : faible, longueur ≥ 12 : moyen, longueur ≥ 15 : fort  pas de longueur maximale  plusieurs classes de caractères (à définir suivant le contexte)  pas de délai d’expiration pour les comptes non sensibles  délai d’expiration pour les comptes sensibles
Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  contrôle de la robustesse : règles de la politique, comparaison à une base de mots de passe fréquemment utilisée, interdiction de la réutilisation d’un ancien mot de passe, repérage des motifs basés sur les noms, prénoms,…  stockage avec sel, hash Argon2 ou PBKDF2 recommandé  privilégier l’authentification multi-facteurs : clé FIDO2 par exemple Voir aussi la conférence :  « Authentification multi-facteurs et gestion du risque avec du logiciel 100 % libre »
Identity Days 2022 27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  pas de spécification universelle  AD, OpenDJ,... : implémentations spécifiques  IETF internet draft : "Password Policy for LDAP Directories"  draft-behera-ldap-password-policy (version 00 : octobre 1999, version 11 : février 2022), implémenté dans plusieurs serveurs d’annuaire :  OpenLDAP password policy overlay  SUN Directory Server  Tivoli Directory Server  Fedora Directory Server  Red-Hat Directory Server
Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  version 11, février 2022, expire le 26 août 2022  définit :  les spécifications fonctionnelles de la politique de mots de passe  le schéma LDAP et les attributs opérationnels pour supporter les politiques  le contrôle étendu « ppolicy » pour les requêtes et les réponses  la façon dont le serveur devrait / doit inclure la politique dans les opérations LDAP (bind, modify,…)  la façon dont les clients devraient / doivent inclure la politique dans les opérations LDAP (bind, modify,…)
Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  des considérations générales pour gérer les politiques (le scope défini par l’attribut SubtreeSpecification, la surcharge de politique)  des considérations sur la réplication et la sécurité  ne définit pas : (spécifique à chaque implémentation)  l’application des critères de politiques de mots de passe  une façon automatique de forcer la réinitialisation de mot de passe après qu’une modification ait été faite par un administrateur
L’overlay Password Policy Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  OpenLDAP implémente le brouillon IETF :  le schéma LDAP et les attributs opérationnels  le contrôle étendu ppolicy pour les requêtes et réponses  l’implémentation serveur  l’implémentation cliente (ldapsearch, ldapmodify,...)
Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  Récemment implémenté (OpenLDAP ≥ 2.5) :  support de la protection contre les attaques par brute-force, basée sur les attributs pwdMinDelay et pwdMaxDelay  support du verrouillage basé sur les attributs pwdLastSuccess et pwdMaxIdle  support de la taille maximale (attribut pwdMaxLength)  support des dates de validité (attributs pwdStartTime et pwdEndTime)  Pas encore implémenté  Politique de mots de passe gérée par « étendue » dans le DIT ou par groupe
Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy
Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  L’attribut pwdCheckModule stockant l’emplacement de la bibliothèque complémentaire évolue en version 2.6 d’OpenLDAP : il est maintenant défini dans la configuration et non plus dans la politique  empêche d’avoir plusieurs modules étendus de politiques  permet de meilleures performances car le module est chargé au démarrage  L’attribut pwdCheckModuleArg permettant de transmettre les paramètres de la politique étendue est apparu avec la version 2.5 d’OpenLDAP  avant la version 2.5, ppm devait récupérer sa configuration en fichier plat
Présentation de ppm Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm Architecture de ppm  implémente les règles de robustesse intéressantes et populaires qui manquent à slapo-ppolicy → OK  extensible → jusqu’à un certain point (plugin de 800 lignes en C)  efficace → non critique (car appelé seulement en cas de changement de MdP)  sécurisé → TODO (audit de code)
Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm ppm en bref  code en C, bibliothèque dynamique (.so), ~ 800 lignes  implémente des règles complémentaires de robustesse de mot de passe  configuration dans l’attribut pwdCheckModuleArg, transmis par l’overlay ppolicy  Code :  dépôt officiel : https://github.com/ltb-project/ppm  disponible dans les sources d’OpenLDAP (répertoire contrib/slapd-modules/ppm)  contient les sources pour compiler la librairie, l’exécutable de test vérifiant la force des mots de passe, la documentation
Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm ppm en bref  packaging :  disponible dans les paquets openldap-ltb pour Debian, Red-Hat :  dans openldap-ltb pour les versions ≥ 2.5.13 et 2.6.3  dans openldap-ltb-contrib-overlays pour les versions inférieures  Dernière version : v2.2, 17 mai 2022  Licence : OpenLDAP Public License
Fonctionnalités de ppm Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Fonctionnalités de ppm Paramètres des classes de caractères  définition des classes de caractères  minQuality  min (pour chaque classe)  min_for_point (pour chaque classe)  max (pour chaque classe) minQuality 3 class-upperCase ABCDEFGHIJKLMNOPQRSTUVWXYZ 0 1 0 class-lowerCase abcdefghijklmnopqrstuvwxyz 0 1 0 Class-digit 0123456789 0 1 0 class-special <>,?;.:/!§ù%*µ^¨$£²&é~"#' 0 1 0 Exemple de politique :
Identity Days 2022 27 octobre 2022 - PARIS Fonctionnalités de ppm Autres paramètres de robustesse  checkRDN  checkAttributes  forbiddenChars  maxConsecutivePerClass  useCracklib  cracklibDict checkRDN 1 checkAttributes mail forbiddenChars £€ maxConsecutivePerClass 8 useCracklib 1 cracklibDict /var/cache/cracklib/cracklib_dict dn: uid=daniel.jackson,ou=people,dc=my-domain,dc=com  nouveau mot de passe : secret → OK  nouveau mot de passe : daniel → KO Exemple de politique : Critère checkRDN :
Conclusion Identity Days 2022 27 octobre 2022 - PARIS
Identity Days 2022 27 octobre 2022 - PARIS Conclusion Avec l’overlay ppolicy + ppm, on peut implémenter toutes les recommandations actuelles  Rejeter les modifications de mots de passe suivant le contexte :  attributs dans l’entrée LDAP  attributs liés à l’entrée LDAP (groupe,…)  environnement : @IP du client, date de requête,...  Appliquer la politique à des groupes d’utilisateurs  fonctionnalité mentionnée dans les tickets de la 2.7 Axes d’amélioration
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recommandé

[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?
Worteks
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
Michel-Marie Maudet
 
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
Worteks
 
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days
 
De l'Open Source à l'Open API (in French)
De l'Open Source à l'Open API (in French)De l'Open Source à l'Open API (in French)
De l'Open Source à l'Open API (in French)
Restlet
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
Worteks
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Benoit Mortier
 

Recommandé

[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?
Worteks
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
Michel-Marie Maudet
 
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils...
Worteks
 
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days 2020 - Politique des mots de passe des annuaires LDAP et outils...
Identity Days
 
De l'Open Source à l'Open API (in French)
De l'Open Source à l'Open API (in French)De l'Open Source à l'Open API (in French)
De l'Open Source à l'Open API (in French)
Restlet
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
Worteks
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
Identity Days
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
Clément OUDOT
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service
Worteks
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDClément OUDOT
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
LINAGORA
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...CERTyou Formation
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days
 
Chap1 p1-introduction
Chap1 p1-introductionChap1 p1-introduction
Chap1 p1-introduction
Moez Re
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINIDLINAGORA
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...CERTyou Formation
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days
 
Introduction aux bases de données NoSQL
Introduction aux bases de données NoSQLIntroduction aux bases de données NoSQL
Introduction aux bases de données NoSQL
Antoine Augusti
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
Clément OUDOT
 
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
LINAGORA
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 

Contenu connexe

Similaire à La politique de mots de passe : de la théorie à la pratique avec OpenLDAP

Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
Identity Days
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
Clément OUDOT
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service
Worteks
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDClément OUDOT
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
LINAGORA
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...CERTyou Formation
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days
 
Chap1 p1-introduction
Chap1 p1-introductionChap1 p1-introduction
Chap1 p1-introduction
Moez Re
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINIDLINAGORA
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...CERTyou Formation
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days
 
Introduction aux bases de données NoSQL
Introduction aux bases de données NoSQLIntroduction aux bases de données NoSQL
Introduction aux bases de données NoSQL
Antoine Augusti
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
Clément OUDOT
 
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
LINAGORA
 

Similaire à La politique de mots de passe : de la théorie à la pratique avec OpenLDAP (20)

Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinID
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
 
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
 
Chap1 p1-introduction
Chap1 p1-introductionChap1 p1-introduction
Chap1 p1-introduction
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINID
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Introduction aux bases de données NoSQL
Introduction aux bases de données NoSQLIntroduction aux bases de données NoSQL
Introduction aux bases de données NoSQL
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
 
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
Identity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Identity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
Identity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 

Dernier

Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 

Dernier (9)

Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. David Coutadeur 27 octobre 2022 - PARIS Identity Days 2022 La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
  • 3. David Coutadeur Architecte en gestion d’identité ~ 10 ans d’ancienneté Expert en gestion d’identité Passionné d’open-source david.coutadeur@worteks.com @dcoutadeur Ordre du jour 27 octobre 2022 - PARIS Identity Days 2022 1. Présentation 2. LDAP et OpenLDAP 3. Introduction aux politiques de MdP 4. Etat des lieux des politiques de MdP 5. L’overlay password policy 6. Présentation de ppm 7. Fonctionnalités de ppm 8. Conclusion
  • 4. Présentation Identity Days 2022 27 octobre 2022 - PARIS
  • 5. Identity Days 2022 27 octobre 2022 - PARIS Identity Days 2022 27 octobre 2022 - PARIS Service Infrastructures hétérogènes et complexes, cloud, authentification, securité  Etudes, audit et consulting  Expertise technique  Support technique  Formation  R&D et innovation Édition Portail d'applications collaboratif Plateforme mutualisée de développement Gestion des identités des accès Partenaires
  • 6. LDAP et OpenLDAP Identity Days 2022 27 octobre 2022 - PARIS
  • 7. Identity Days 2022 27 octobre 2022 - PARIS • protocole d’annuaire  annuaire = recueil d’informations, historiquement liées à l’identité  ensemble de données  beaucoup d’enregistrements de petite taille  souvent lus, rarement mis à jour  recherches simples  « Lightweight Directory Access Protocol »  issu de X.500, apparu à la fin des années 1980  plus léger par rapport à X.500 DAP et DSP  LDAP = protocole d’annuaire électronique (1993)  standardisé dans plusieurs RFC (RFC 4511)  LDAPv3 : 1998 Qu’est-ce que le LDAP ?
  • 8. Identity Days 2022 27 octobre 2022 - PARIS Qu’est-ce que le LDAP ? Identity Days 2022  la communication client serveur  au dessus de TCP / IP  l’encodage (LBER)  les mécanismes de sécurité  authentification (simple, SASL,…)  chiffrement des flux  règles d’accès aux données  les 9 opérations de base  bind, unbind, abandon, search, compare, add, modify, delete, modrdn  le modèle d’information (schéma)  le modèle de nommage (DIT) Client Annuaire Connexion Authentification Authentification réussie Recherche Résultat de la recherche Modification d'une entrée Erreur lors de la modification Ajout d'une entrée Entrée ajoutée Déconnexion Le protocole définit :
  • 9. Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP  issu du serveur LDAP de l'université du Michigan, dont dérive également Netscape Directory Server  projet initié en 1998 (OpenLDAP v1), avec support LDAPv2  conforme LDAPv3 en 2000 (OpenLDAP v2)  version LTS actuelle : OpenLDAP 2.5.13  version « feature release » : OpenLDAP 2.6.3  3 développeurs principaux :  Howard Chu  Ondřej Kuzník  Quanah Gibson-Mount Historique
  • 10. Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP  OpenLDAP Public License, dérivée de la GNU GPL Caractéristiques  LDAPv3  réplication multi-maître, complète et différentielle  moteur syncrepl  Content Synchronization Operation (RFC 4533)  délégation d’authentification SASL / GSSAPI  internationalisation UTF-8 via Unicode  serveur LDAP  bibliothèques de connexion  commandes LDAP  commandes de gestion du contenu  API (C, C++, TCL, Java) contient supporte
  • 11. Identity Days 2022 27 octobre 2022 - PARIS Présentation d’OpenLDAP Choix d'overlays : politique des mots de passe, listes dynamiques, intégrité référentielle Fonctionnement Backend = composant qui stocke ou traite des données en réponse à une requête ldap Overlay = extension pour personnaliser le comportement des backends
  • 12. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  projet lancée en 2009  supporté par : une association indépendante à but non lucratif visant à promouvoir une base de logiciels d’infrastructure open-source  Community Award d’OW2 reçu en 2021 !  à l’origine :  fournir des didacticiels, des listes de diffusion et des scripts pour exploiter des annuaires LDAP  aujourd’hui :  la base de code et de tutoriels s’est étendue  LTB-project propose des logiciels complets
  • 13. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  des paquets communautaires pour OpenLDAP  les paquets des principales distributions Linux sont souvent en retard dans les versions distribuées  fourniture de paquets RPM et DEB à jour  CLI pour configurer, administrer, superviser l’annuaire  extensions (overlays) supplémentaires  des scripts d’exploitation  notification d’expiration par mail, conversion LDIF, statistiques, nettoyage,... Services proposés par LDAP-toolbox
  • 14. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une base documentaire  https://ltb-project-documentation.readthedocs.io  installation, configuration des paquets openldap-ltb  supervision, statistiques LDAP avec et  documentation des applicatifs LTB  tutoriels divers : migration d’annuaire, délégation d’authentification,... Services proposés par LDAP-toolbox
  • 15. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de gestion dédiée aux administrateurs : Service Desk  tableaux de bord pour visualiser les comptes et leur statut (bloqués, expirés)  test d'un mot de passe  réinitialisation d'un mot de passe  blocage, déblocage d'un compte Services proposés par LDAP-toolbox
  • 16. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de gestion pour les utilisateurs : White Pages  les informations principales sont affichées :  adresse mail  identité  téléphone  photo  récupération possible d'une identité au format vCard Services proposés par LDAP-toolbox
  • 17. Identity Days 2022 27 octobre 2022 - PARIS Présentation de l’initiative LDAP Toolbox  une interface web de self-service-password  réinitialisation du mot de passe en autonomie par l’utilisateur :  par connaissance du mot de passe actuel  par une vérification du mail  par une vérification par SMS  par une vérification par question / réponses  support des politiques de mots de passe Services proposés par LDAP-toolbox
  • 18. Introduction aux politiques de MdP Identity Days 2022 27 octobre 2022 - PARIS
  • 19. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP « ensemble de règles visant à améliorer la sécurité, en encourageant les utilisateurs à recourir à des mots de passe relativement robustes et en les utilisant correctement »
  • 20. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  Pas de norme universelle  recommandations du NIST  recommandations de l’ANSSI  recommandations de la CNIL du 07/22 (tableau de correspondance / ANSSI)  Normes changeantes avec le temps  Guide NIST de 2004 : utilisation de majuscules, minuscules, chiffres, avec obligation de changer périodiquement  Guide NIST de 2007 : 8 → 64 caractères, pas d’obligation d’imposer plusieurs classes de caractères, pas d’obligation de changement périodique
  • 21. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  Recommandations ANSSI :  « Recommandations relatives à l'authentification multifacteur et aux mots de passe - v2.0 du 08/10/2021 »  longueur ≥ 9 : faible, longueur ≥ 12 : moyen, longueur ≥ 15 : fort  pas de longueur maximale  plusieurs classes de caractères (à définir suivant le contexte)  pas de délai d’expiration pour les comptes non sensibles  délai d’expiration pour les comptes sensibles
  • 22. Identity Days 2022 27 octobre 2022 - PARIS Introduction aux politiques de MdP  contrôle de la robustesse : règles de la politique, comparaison à une base de mots de passe fréquemment utilisée, interdiction de la réutilisation d’un ancien mot de passe, repérage des motifs basés sur les noms, prénoms,…  stockage avec sel, hash Argon2 ou PBKDF2 recommandé  privilégier l’authentification multi-facteurs : clé FIDO2 par exemple Voir aussi la conférence :  « Authentification multi-facteurs et gestion du risque avec du logiciel 100 % libre »
  • 23. Identity Days 2022 27 octobre 2022 - PARIS
  • 24. Etat des lieux des politiques de MdP Identity Days 2022 27 octobre 2022 - PARIS
  • 25. Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  pas de spécification universelle  AD, OpenDJ,... : implémentations spécifiques  IETF internet draft : "Password Policy for LDAP Directories"  draft-behera-ldap-password-policy (version 00 : octobre 1999, version 11 : février 2022), implémenté dans plusieurs serveurs d’annuaire :  OpenLDAP password policy overlay  SUN Directory Server  Tivoli Directory Server  Fedora Directory Server  Red-Hat Directory Server
  • 26. Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  version 11, février 2022, expire le 26 août 2022  définit :  les spécifications fonctionnelles de la politique de mots de passe  le schéma LDAP et les attributs opérationnels pour supporter les politiques  le contrôle étendu « ppolicy » pour les requêtes et les réponses  la façon dont le serveur devrait / doit inclure la politique dans les opérations LDAP (bind, modify,…)  la façon dont les clients devraient / doivent inclure la politique dans les opérations LDAP (bind, modify,…)
  • 27. Identity Days 2022 27 octobre 2022 - PARIS Etat des lieux des politiques de MdP  des considérations générales pour gérer les politiques (le scope défini par l’attribut SubtreeSpecification, la surcharge de politique)  des considérations sur la réplication et la sécurité  ne définit pas : (spécifique à chaque implémentation)  l’application des critères de politiques de mots de passe  une façon automatique de forcer la réinitialisation de mot de passe après qu’une modification ait été faite par un administrateur
  • 28. L’overlay Password Policy Identity Days 2022 27 octobre 2022 - PARIS
  • 29. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  OpenLDAP implémente le brouillon IETF :  le schéma LDAP et les attributs opérationnels  le contrôle étendu ppolicy pour les requêtes et réponses  l’implémentation serveur  l’implémentation cliente (ldapsearch, ldapmodify,...)
  • 30. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  Récemment implémenté (OpenLDAP ≥ 2.5) :  support de la protection contre les attaques par brute-force, basée sur les attributs pwdMinDelay et pwdMaxDelay  support du verrouillage basé sur les attributs pwdLastSuccess et pwdMaxIdle  support de la taille maximale (attribut pwdMaxLength)  support des dates de validité (attributs pwdStartTime et pwdEndTime)  Pas encore implémenté  Politique de mots de passe gérée par « étendue » dans le DIT ou par groupe
  • 31. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy
  • 32. Identity Days 2022 27 octobre 2022 - PARIS L’overlay password policy  L’attribut pwdCheckModule stockant l’emplacement de la bibliothèque complémentaire évolue en version 2.6 d’OpenLDAP : il est maintenant défini dans la configuration et non plus dans la politique  empêche d’avoir plusieurs modules étendus de politiques  permet de meilleures performances car le module est chargé au démarrage  L’attribut pwdCheckModuleArg permettant de transmettre les paramètres de la politique étendue est apparu avec la version 2.5 d’OpenLDAP  avant la version 2.5, ppm devait récupérer sa configuration en fichier plat
  • 33. Présentation de ppm Identity Days 2022 27 octobre 2022 - PARIS
  • 34. Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm Architecture de ppm  implémente les règles de robustesse intéressantes et populaires qui manquent à slapo-ppolicy → OK  extensible → jusqu’à un certain point (plugin de 800 lignes en C)  efficace → non critique (car appelé seulement en cas de changement de MdP)  sécurisé → TODO (audit de code)
  • 35. Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm ppm en bref  code en C, bibliothèque dynamique (.so), ~ 800 lignes  implémente des règles complémentaires de robustesse de mot de passe  configuration dans l’attribut pwdCheckModuleArg, transmis par l’overlay ppolicy  Code :  dépôt officiel : https://github.com/ltb-project/ppm  disponible dans les sources d’OpenLDAP (répertoire contrib/slapd-modules/ppm)  contient les sources pour compiler la librairie, l’exécutable de test vérifiant la force des mots de passe, la documentation
  • 36. Identity Days 2022 27 octobre 2022 - PARIS Présentation de ppm ppm en bref  packaging :  disponible dans les paquets openldap-ltb pour Debian, Red-Hat :  dans openldap-ltb pour les versions ≥ 2.5.13 et 2.6.3  dans openldap-ltb-contrib-overlays pour les versions inférieures  Dernière version : v2.2, 17 mai 2022  Licence : OpenLDAP Public License
  • 37. Fonctionnalités de ppm Identity Days 2022 27 octobre 2022 - PARIS
  • 38. Identity Days 2022 27 octobre 2022 - PARIS Fonctionnalités de ppm Paramètres des classes de caractères  définition des classes de caractères  minQuality  min (pour chaque classe)  min_for_point (pour chaque classe)  max (pour chaque classe) minQuality 3 class-upperCase ABCDEFGHIJKLMNOPQRSTUVWXYZ 0 1 0 class-lowerCase abcdefghijklmnopqrstuvwxyz 0 1 0 Class-digit 0123456789 0 1 0 class-special <>,?;.:/!§ù%*µ^¨$£²&é~"#' 0 1 0 Exemple de politique :
  • 39. Identity Days 2022 27 octobre 2022 - PARIS Fonctionnalités de ppm Autres paramètres de robustesse  checkRDN  checkAttributes  forbiddenChars  maxConsecutivePerClass  useCracklib  cracklibDict checkRDN 1 checkAttributes mail forbiddenChars £€ maxConsecutivePerClass 8 useCracklib 1 cracklibDict /var/cache/cracklib/cracklib_dict dn: uid=daniel.jackson,ou=people,dc=my-domain,dc=com  nouveau mot de passe : secret → OK  nouveau mot de passe : daniel → KO Exemple de politique : Critère checkRDN :
  • 40. Conclusion Identity Days 2022 27 octobre 2022 - PARIS
  • 41. Identity Days 2022 27 octobre 2022 - PARIS Conclusion Avec l’overlay ppolicy + ppm, on peut implémenter toutes les recommandations actuelles  Rejeter les modifications de mots de passe suivant le contexte :  attributs dans l’entrée LDAP  attributs liés à l’entrée LDAP (groupe,…)  environnement : @IP du client, date de requête,...  Appliquer la politique à des groupes d’utilisateurs  fonctionnalité mentionnée dans les tickets de la 2.7 Axes d’amélioration
  • 42. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022