SlideShare une entreprise Scribd logo

[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils de gestion

Worteks
Worteks

Comprendre la password policy dans OpenLDAP Découvrir les outils LDAP Tool Box Self Service Password et Service Desk

Logiciels
1  sur  25
Télécharger pour lire hors ligne
Politique des mots de passe des annuaires LDAP et outils de gestion Clément OUDOT 29 octobre 2020 Identity Days 2020
Clément OUDOT Identity Solutions Manager PRO : ● Worteks ● LemonLDAP::NG ● LDAP Tool Box ● LDAP Synchronization Connector ● FusionIAM ● W’Sweet PERSO : ● KPTN ● DonJon Legacy ● Improcité • « Mot de passe protégé » • Le standard LDAP “password policy” • Implémentation dans OpenLDAP • Les outils du projet LDAP Tool Box • Self Service Password • Service Desk AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
Mot de passe protégé Sur l’air de Femme Libérée de Cookie Dingler Souvent chiffré, mais parfois en clair Un mot de passe mal géré ça peut coûter cher Les attaquants ne font pas semblant Quand ils s’en prennent à ton compte, c’est pas très marrant Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ta date naissance, le nom de ton chat C’est pas comme si tu n’avais pas d’autre choix Essaye un peu de faire un effort Respecte les critères pour choisir un mot de passe fort Identity Days 2020 29 octobre 2020 Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Des majuscules, des chiffres mais aussi Des caractères spéciaux de la table ASCII Un mot de passe complexe, c’est pas compliqué Mais il faut bien l’apprendre pour ne pas l’oublier Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile
Le standard LDAP “password policy” Identity Days 2020 29 octobre 2020
Un standard encore en brouillon (draft) La politique des mots de passe est spécifiée à l’IETF, mais sous forme de brouillon Identity Days 2020 29 octobre 2020 https://tools.ietf.org/html/draft-behera-ldap-password-policy Première version publiée en 1999 La dernière version (10), publiée en 2009, est maintenant expirée
Contenu du standard Le standard porte sur : ● Le contrôle dans les requêtes et réponses LDAP ● Le schéma pour la configuration ● Les attributs opérationnels pour le statut de la politique pour chaque compte ● Le traitement des requêtes d’authentification et de changement de mot de passe Identity Days 2020 29 octobre 2020
Dialogue Client / Serveur Identity Days 2020 29 octobre 2020 Requête LDAP + Contrôle 1.3.6.1.4.1.42.2.27.8.5.1 Réponse LDAP + Contrôle PasswordPolicyResponseValue ::= SEQUENCE { warning [0] CHOICE { timeBeforeExpiration [0] INTEGER (0 .. maxInt), graceAuthNsRemaining [1] INTEGER (0 .. maxInt) } OPTIONAL, error [1] ENUMERATED { passwordExpired (0), accountLocked (1), changeAfterReset (2), passwordModNotAllowed (3), mustSupplyOldPassword (4), insufficientPasswordQuality (5), passwordTooShort (6), passwordTooYoung (7), passwordInHistory (8) } OPTIONAL }
Vérifications faites à l’authentification ● Expiration : refuser l’authentification si le mot de passe est expiré, ou gérer les grâces d’authentification ● Verrouillage : gérer le compteur d’authentification ratées, refuser l’authentification si le mot de passe est bloqué ● Forcer le changement : autoriser l’authentification mais forcer le changement de mot de passe ● Alertes : informer sur le temps avant expiration ou sur les grâces d’authentification restantes Identity Days 2020 29 octobre 2020
Vérification faites à la modification du mot de passe ● Longueur minimale ● Âge minimal ● Présence dans l’historique ● Complexité Identity Days 2020 29 octobre 2020 Le standard n’impose rien concernant la complexité
Implémentation dans OpenLDAP Identity Days 2020 29 octobre 2020
Le logiciel OpenLDAP ● Serveur conforme au standard LDAPv3 ● Licence compatible BSD (Logiciel Libre) ● Paquets Debian/Ubuntu/CentOS/RHEL disponibles dans le projet LDAP Tool Box Identity Days 2020 24 octobre 2020
Overlay ppolicy ● OpenLDAP 2.4 : Behera draft v9 ● OpenLDAP 2.5 : Behera draft v10 ● Principaux changements entre v9 et v10 : ● Taille maximale du mot de passe ● Délais d’authentification ● Calcul du temps de non utilisation ● Période de validité Identity Days 2020 29 octobre 2020
Configuration de l’overlay dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcPPolicyConfig olcOverlay: ppolicy olcPPolicyHashCleartext: TRUE olcPPolicyUseLockout: TRUE olcPPolicyForwardUpdates: FALSE Identity Days 2020 29 octobre 2020
Configuration des politiques ● Chaque politique est représentée par une entrée LDAP utilisant la classe d’objet pwdPolicy ● On peut ajouter la classe d’objet pwdPolicyChecker pour charge un module de vérification de la complexité ● Le projet LDAP Tool Box fournit un module nommé ppm : https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
Exemple d’entrée ppolicy dn: cn=default,ou=ppolicy,dc=example,dc=com objectClass: pwdPolicy objectClass: pwdPolicyChecker objectClass: device objectClass: top cn: default pwdAttribute: userPassword pwdCheckModule: ppm.so pwdAllowUserChange: TRUE pwdMustChange: TRUE pwdSafeModify : FALSE pwdCheckQuality: 2 Identity Days 2020 29 octobre 2020 pwdLockout: TRUE pwdMaxFailure: 10 pwdFailureCountInterval: 30 pwdLockoutDuration: 600 pwdExpireWarning: 0 pwdMaxAge: 31536000 pwdMinAge: 600 pwdGraceAuthnLimit: 2 pwdMinLength: 8 pwdInHistory: 10
Attributs opérationnels pour le statut ● pwdPolicySubentry : politique active pour ce compte ● pwdChangedTime : date de dernier changement de mot de passe ● pwdAccountLockedTime : date de verrouillage. Si la valeur est "000001010000Z", cela signifie que le compte est bloqué pour une durée indéterminée ● pwdFailureTime : listes des dates d’authentification ratées ● pwdHistory : historique des mots de passe ● pwdGraceUseTime : liste des dates de grâce d’authentifcation ● pwdReset : forcer le changement à la prochaine connexion Identity Days 2020 29 octobre 2020
Overlay lastbind Overlay spécifique pour mémoriser la date de dernière authentification réussie (attribut opérationel authTimestamp) dn: olcOverlay=lastbind,olcDatabase={1}mdb,cn=config objectClass: top objectClass: olcConfig objectClass: olcLastBindConfig objectClass: olcOverlayConfig olcOverlay: lastbind olcLastBindPrecision: 1 Identity Days 2020 29 octobre 2020
Ce que personne ne vous a jamais dit Verrouillage de compte : avoir une valeur dans l’attribut pwdAccountLockedTime ne signifie pas que le compte est bloqué. Si la date courante est supérieure à la date de verrouillage à laquelle est ajoutée la durée de blocage, alors le compte n’est plus verrouillé. L’attribut sera supprimé à la prochaine authentification. Réinitialisation du mot de passe : même si une réinitialisation du mot de passe est demandée, l’authentification est valide. OpenLDAP limite les opérations possibles ensuite pour n’autoriser que la modification du mot de passe. Cependant cela n’impacte pas les applications qui ne font qu’une requête d’authentification. Identity Days 2020 29 octobre 2020
Les outils du projet LDAP Tool Box Identity Days 2020 29 octobre 2020
Self Service Password Identity Days 2020 29 octobre 2020 ● Logiciel Libre (licence GPL) ● Destiné aux utilisateurs finaux ● Changement ou réinitialisation de mot de passe ● Utilisation d’un jeton par mail, SMS ou de questions de sécurité ● Modification de sa clé SSH ● Utilisation de la politique de l’annuaire ou d’une politique locale ● Fonctionne avec un annuaire LDAP standard et avec Active Directory
Service Desk Les problèmes rencontrés par les utilisateurs avec le système d’authentification sont souvent liées à un mot de passe perdu, expiré ou bloqué Les équipes de support ont rarement accès directement à l’annuaire LDAP et ne savent pas comment fonctionne la politique des mots de passe Les équipes de support ont besoin d’un outil qui donne rapidement le statut d’un compte afin d’aider les utilisateurs Identity Days 2020 29 octobre 2020
Service Desk ● Logiciel Libre (licence GPL) ● Destiné aux équipes de support ● Recherche d’un compte ● Affichage des attributs principaux ● Affichage du statut du compte ● Vérification du mot de passe courant ● Réinitialisation du mot de passe ● Verrouillage/déverrouillage Identity Days 2020 29 octobre 2020
Pour aller plus loin Identity Days 2020 29 octobre 2020
Quelques liens OpenLDAP https://www.openldap.org/ LDAP Tool Box https://ltb-project.org LDAP Tool Box Self Service Password https://github.com/ltb-project/self-service-password LDAP Tool Box Service Desk https://github.com/ltb-project/service-desk LDAP Tool Box ppm https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020

Recommandé

[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?Worteks
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service PasswordWorteks
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'SweetWorteks
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...Worteks
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
WebSSO et gestion des accès
WebSSO et gestion des accèsWebSSO et gestion des accès
WebSSO et gestion des accèsLINAGORA
 
[OpenDay 2021] Logiciel libre, entreprises et modèles économiques
[OpenDay 2021] Logiciel libre, entreprises et modèles économiques[OpenDay 2021] Logiciel libre, entreprises et modèles économiques
[OpenDay 2021] Logiciel libre, entreprises et modèles économiquesWorteks
 

Recommandé

[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?[Identity Days 2021] Quel avenir pour OpenLDAP ?
[Identity Days 2021] Quel avenir pour OpenLDAP ?Worteks
 
[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service Password[AFUP Lyon 2021] LDAP Tool Box Self Service Password
[AFUP Lyon 2021] LDAP Tool Box Self Service PasswordWorteks
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'Sweet[Campus du Libre 2020] Présentation de la solution W'Sweet
[Campus du Libre 2020] Présentation de la solution W'SweetWorteks
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...Worteks
 
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...
Matinée Pour Comprendre LinID - Intégration du serveur Active Directory avec ...Clément OUDOT
 
WebSSO et gestion des accès
WebSSO et gestion des accèsWebSSO et gestion des accès
WebSSO et gestion des accèsLINAGORA
 
[OpenDay 2021] Logiciel libre, entreprises et modèles économiques
[OpenDay 2021] Logiciel libre, entreprises et modèles économiques[OpenDay 2021] Logiciel libre, entreprises et modèles économiques
[OpenDay 2021] Logiciel libre, entreprises et modèles économiquesWorteks
 
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)Clément OUDOT
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administratorinf_med13
 
LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2Clément OUDOT
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDClément OUDOT
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPClément OUDOT
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOClément OUDOT
 
LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LINAGORA
 
OpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverOpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverAlexis Moussine-Pouchkine
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011LINAGORA
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalJonathan Clarke
 
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...LINAGORA
 
Open source tools for e signature - yajug - v3
Open source tools for e signature - yajug - v3Open source tools for e signature - yajug - v3
Open source tools for e signature - yajug - v3David Naramski
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signingAlice and Bob
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINIDLINAGORA
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 

Contenu connexe

Tendances

LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)Clément OUDOT
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administratorinf_med13
 
LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2Clément OUDOT
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDClément OUDOT
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPClément OUDOT
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOClément OUDOT
 
LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LINAGORA
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011LINAGORA
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalJonathan Clarke
 
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...LINAGORA
 
Open source tools for e signature - yajug - v3
Open source tools for e signature - yajug - v3Open source tools for e signature - yajug - v3
Open source tools for e signature - yajug - v3David Naramski
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signingAlice and Bob
 

Tendances (14)

LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
LemonLDAP::NG, un WebSSO libre (ConFoo 2011)
 
Idm 28-administrator
Idm 28-administratorIdm 28-administrator
Idm 28-administrator
 
LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2LemonLDAP::NG et le support SAML2
LemonLDAP::NG et le support SAML2
 
Matinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinIDMatinée Pour Comprendre LinID - Présentation des composants LinID
Matinée Pour Comprendre LinID - Présentation des composants LinID
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAP
 
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSOSL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
SL2009 - Identity Management Cycle - LDAP synchronization and WebSSO
 
LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique LinShare : partage de fichiers sécurisé et coffre-fort électronique
LinShare : partage de fichiers sécurisé et coffre-fort électronique
 
OpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP serverOpenDS - Open Source Java LDAP server
OpenDS - Open Source Java LDAP server
 
Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011Séminaire LinID/LinPKI septembre 2011
Séminaire LinID/LinPKI septembre 2011
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéalOpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
OpenLDAP - Astuces pour en faire l'annuaire d'entreprise idéal
 
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
Matinée pour conmrendre consacrée à LinShare.org, application de partage de f...
 
Open source tools for e signature - yajug - v3
Open source tools for e signature - yajug - v3Open source tools for e signature - yajug - v3
Open source tools for e signature - yajug - v3
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signing
 

Similaire à [Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils de gestion

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDMichel-Marie Maudet
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009LINAGORA
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINIDLINAGORA
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...LINAGORA
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreClément OUDOT
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !Clément OUDOT
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPClément OUDOT
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Gregory Haik
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Soisik FROGER
 
Denodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm
 

Similaire à [Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils de gestion (20)

La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
 
Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009Séminaire LinID LINAGORA - juin 2009
Séminaire LinID LINAGORA - juin 2009
 
Présentation offre LINID
Présentation offre LINIDPrésentation offre LINID
Présentation offre LINID
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
Séminaire septembre 2010 - LinID et LinPKI, Les solutions Open Source d'ident...
 
LemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libreLemonLDAP::NG, un WebSSO libre
LemonLDAP::NG, un WebSSO libre
 
[RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités ![RMLL2017] Des logiciels libres pour la gestion des identités !
[RMLL2017] Des logiciels libres pour la gestion des identités !
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
Construire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAPConstruire son application web de gestion de contenu d'annuaire LDAP
Construire son application web de gestion de contenu d'annuaire LDAP
 
Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...Guide d’architecture pour le support de la fédération d’identité dans une app...
Guide d’architecture pour le support de la fédération d’identité dans une app...
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)Sécurisation de jitsi en SAAS (OSXP 2023)
Sécurisation de jitsi en SAAS (OSXP 2023)
 
Denodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marchéDenodo 2022 : le meilleur time-to-Data du marché
Denodo 2022 : le meilleur time-to-Data du marché
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
22410B_00.pptx
22410B_00.pptx22410B_00.pptx
22410B_00.pptx
 

Plus de Worteks

[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares
[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares
[Pass the SALT 2021] Hosting Identity in the Cloud with free softwaresWorteks
 
[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares
[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares
[OW2con'21] Hosting Identity in the Cloud with OW2 free softwaresWorteks
 
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'SweetWorteks
 
[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...
[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...
[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...Worteks
 
[OW2online 2020] LDAP Synchronization Connector
[OW2online 2020] LDAP Synchronization Connector[OW2online 2020] LDAP Synchronization Connector
[OW2online 2020] LDAP Synchronization ConnectorWorteks
 
[Aperhologramme 2020] Comment faire du logiciel libre ?
[Aperhologramme 2020] Comment faire du logiciel libre ?[Aperhologramme 2020] Comment faire du logiciel libre ?
[Aperhologramme 2020] Comment faire du logiciel libre ?Worteks
 
[POSS 2019] OVirt and Ceph: Perfect Combination.?
[POSS 2019] OVirt and Ceph: Perfect Combination.?[POSS 2019] OVirt and Ceph: Perfect Combination.?
[POSS 2019] OVirt and Ceph: Perfect Combination.?Worteks
 
[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG
[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG
[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NGWorteks
 
[POSS 2019] TLS for Dummies
[POSS 2019] TLS for Dummies[POSS 2019] TLS for Dummies
[POSS 2019] TLS for DummiesWorteks
 
[POSS 2019] Learn AWK in 15 minutes
[POSS 2019] Learn AWK in 15 minutes[POSS 2019] Learn AWK in 15 minutes
[POSS 2019] Learn AWK in 15 minutesWorteks
 
[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...
[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...
[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...Worteks
 
[LDAPCon 2019] The FusionIAM initiative
[LDAPCon 2019] The FusionIAM initiative[LDAPCon 2019] The FusionIAM initiative
[LDAPCon 2019] The FusionIAM initiativeWorteks
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...Worteks
 
[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...
[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...
[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...Worteks
 
[OW2con19] LemonLDAP::NG success stories
[OW2con19] LemonLDAP::NG success stories[OW2con19] LemonLDAP::NG success stories
[OW2con19] LemonLDAP::NG success storiesWorteks
 
[BlueMindSummit] Présentation de la solution W'Sweet
[BlueMindSummit] Présentation de la solution W'Sweet[BlueMindSummit] Présentation de la solution W'Sweet
[BlueMindSummit] Présentation de la solution W'SweetWorteks
 
[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0Worteks
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...Worteks
 
[POSS 2018] WSweet
[POSS 2018] WSweet[POSS 2018] WSweet
[POSS 2018] WSweetWorteks
 
[POSS 2018] Comment unifier ses dashboards par Grafana
[POSS 2018] Comment unifier ses dashboards par Grafana[POSS 2018] Comment unifier ses dashboards par Grafana
[POSS 2018] Comment unifier ses dashboards par GrafanaWorteks
 

Plus de Worteks (20)

[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares
[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares
[Pass the SALT 2021] Hosting Identity in the Cloud with free softwares
 
[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares
[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares
[OW2con'21] Hosting Identity in the Cloud with OW2 free softwares
 
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
[Université Lyon 1] Exemples de logiciels libres : LemonLDAP::NG et W'Sweet
 
[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...
[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...
[Pass the SALT 2020] Understand password policy in OpenLDAP and discover tool...
 
[OW2online 2020] LDAP Synchronization Connector
[OW2online 2020] LDAP Synchronization Connector[OW2online 2020] LDAP Synchronization Connector
[OW2online 2020] LDAP Synchronization Connector
 
[Aperhologramme 2020] Comment faire du logiciel libre ?
[Aperhologramme 2020] Comment faire du logiciel libre ?[Aperhologramme 2020] Comment faire du logiciel libre ?
[Aperhologramme 2020] Comment faire du logiciel libre ?
 
[POSS 2019] OVirt and Ceph: Perfect Combination.?
[POSS 2019] OVirt and Ceph: Perfect Combination.?[POSS 2019] OVirt and Ceph: Perfect Combination.?
[POSS 2019] OVirt and Ceph: Perfect Combination.?
 
[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG
[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG
[POSS 2019] MicroServices authentication and authorization with LemonLDAP::NG
 
[POSS 2019] TLS for Dummies
[POSS 2019] TLS for Dummies[POSS 2019] TLS for Dummies
[POSS 2019] TLS for Dummies
 
[POSS 2019] Learn AWK in 15 minutes
[POSS 2019] Learn AWK in 15 minutes[POSS 2019] Learn AWK in 15 minutes
[POSS 2019] Learn AWK in 15 minutes
 
[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...
[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...
[LDAPCon 2019] LemonLDAP::NG 2.0: Mutli-factor authentication, Identity Feder...
 
[LDAPCon 2019] The FusionIAM initiative
[LDAPCon 2019] The FusionIAM initiative[LDAPCon 2019] The FusionIAM initiative
[LDAPCon 2019] The FusionIAM initiative
 
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
[Identity Days 2019] Maîtrisez les accès à vos applications Web (Cloud et On...
 
[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...
[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...
[RedHat Forum 2019] REX - COMMENT MONTER UNE OFFRE DE CLOUD EN MARQUE BLANCHE...
 
[OW2con19] LemonLDAP::NG success stories
[OW2con19] LemonLDAP::NG success stories[OW2con19] LemonLDAP::NG success stories
[OW2con19] LemonLDAP::NG success stories
 
[BlueMindSummit] Présentation de la solution W'Sweet
[BlueMindSummit] Présentation de la solution W'Sweet[BlueMindSummit] Présentation de la solution W'Sweet
[BlueMindSummit] Présentation de la solution W'Sweet
 
[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0[FOSDEM 2019] LemonLDAP::NG 2.0
[FOSDEM 2019] LemonLDAP::NG 2.0
 
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
[FLOSSCON 2019] Gestion des authentifications et des accès avec LemonLDAP::NG...
 
[POSS 2018] WSweet
[POSS 2018] WSweet[POSS 2018] WSweet
[POSS 2018] WSweet
 
[POSS 2018] Comment unifier ses dashboards par Grafana
[POSS 2018] Comment unifier ses dashboards par Grafana[POSS 2018] Comment unifier ses dashboards par Grafana
[POSS 2018] Comment unifier ses dashboards par Grafana
 

[Identity Days 2020] Politique des mots de passe des annuaires LDAP et outils de gestion

  • 1. Politique des mots de passe des annuaires LDAP et outils de gestion Clément OUDOT 29 octobre 2020 Identity Days 2020
  • 2. Clément OUDOT Identity Solutions Manager PRO : ● Worteks ● LemonLDAP::NG ● LDAP Tool Box ● LDAP Synchronization Connector ● FusionIAM ● W’Sweet PERSO : ● KPTN ● DonJon Legacy ● Improcité • « Mot de passe protégé » • Le standard LDAP “password policy” • Implémentation dans OpenLDAP • Les outils du projet LDAP Tool Box • Self Service Password • Service Desk AGENDA DE LA CONFÉRENCE 29 octobre 2020 Identity Days 2020
  • 3. Mot de passe protégé Sur l’air de Femme Libérée de Cookie Dingler Souvent chiffré, mais parfois en clair Un mot de passe mal géré ça peut coûter cher Les attaquants ne font pas semblant Quand ils s’en prennent à ton compte, c’est pas très marrant Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ta date naissance, le nom de ton chat C’est pas comme si tu n’avais pas d’autre choix Essaye un peu de faire un effort Respecte les critères pour choisir un mot de passe fort Identity Days 2020 29 octobre 2020 Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Des majuscules, des chiffres mais aussi Des caractères spéciaux de la table ASCII Un mot de passe complexe, c’est pas compliqué Mais il faut bien l’apprendre pour ne pas l’oublier Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile Ne le laisse pas traîner Il est si fragile Un mot de passe à protéger tu sais c'est pas si facile
  • 4. Le standard LDAP “password policy” Identity Days 2020 29 octobre 2020
  • 5. Un standard encore en brouillon (draft) La politique des mots de passe est spécifiée à l’IETF, mais sous forme de brouillon Identity Days 2020 29 octobre 2020 https://tools.ietf.org/html/draft-behera-ldap-password-policy Première version publiée en 1999 La dernière version (10), publiée en 2009, est maintenant expirée
  • 6. Contenu du standard Le standard porte sur : ● Le contrôle dans les requêtes et réponses LDAP ● Le schéma pour la configuration ● Les attributs opérationnels pour le statut de la politique pour chaque compte ● Le traitement des requêtes d’authentification et de changement de mot de passe Identity Days 2020 29 octobre 2020
  • 7. Dialogue Client / Serveur Identity Days 2020 29 octobre 2020 Requête LDAP + Contrôle 1.3.6.1.4.1.42.2.27.8.5.1 Réponse LDAP + Contrôle PasswordPolicyResponseValue ::= SEQUENCE { warning [0] CHOICE { timeBeforeExpiration [0] INTEGER (0 .. maxInt), graceAuthNsRemaining [1] INTEGER (0 .. maxInt) } OPTIONAL, error [1] ENUMERATED { passwordExpired (0), accountLocked (1), changeAfterReset (2), passwordModNotAllowed (3), mustSupplyOldPassword (4), insufficientPasswordQuality (5), passwordTooShort (6), passwordTooYoung (7), passwordInHistory (8) } OPTIONAL }
  • 8. Vérifications faites à l’authentification ● Expiration : refuser l’authentification si le mot de passe est expiré, ou gérer les grâces d’authentification ● Verrouillage : gérer le compteur d’authentification ratées, refuser l’authentification si le mot de passe est bloqué ● Forcer le changement : autoriser l’authentification mais forcer le changement de mot de passe ● Alertes : informer sur le temps avant expiration ou sur les grâces d’authentification restantes Identity Days 2020 29 octobre 2020
  • 9. Vérification faites à la modification du mot de passe ● Longueur minimale ● Âge minimal ● Présence dans l’historique ● Complexité Identity Days 2020 29 octobre 2020 Le standard n’impose rien concernant la complexité
  • 10. Implémentation dans OpenLDAP Identity Days 2020 29 octobre 2020
  • 11. Le logiciel OpenLDAP ● Serveur conforme au standard LDAPv3 ● Licence compatible BSD (Logiciel Libre) ● Paquets Debian/Ubuntu/CentOS/RHEL disponibles dans le projet LDAP Tool Box Identity Days 2020 24 octobre 2020
  • 12. Overlay ppolicy ● OpenLDAP 2.4 : Behera draft v9 ● OpenLDAP 2.5 : Behera draft v10 ● Principaux changements entre v9 et v10 : ● Taille maximale du mot de passe ● Délais d’authentification ● Calcul du temps de non utilisation ● Période de validité Identity Days 2020 29 octobre 2020
  • 13. Configuration de l’overlay dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config objectClass: olcOverlayConfig objectClass: olcPPolicyConfig olcOverlay: ppolicy olcPPolicyHashCleartext: TRUE olcPPolicyUseLockout: TRUE olcPPolicyForwardUpdates: FALSE Identity Days 2020 29 octobre 2020
  • 14. Configuration des politiques ● Chaque politique est représentée par une entrée LDAP utilisant la classe d’objet pwdPolicy ● On peut ajouter la classe d’objet pwdPolicyChecker pour charge un module de vérification de la complexité ● Le projet LDAP Tool Box fournit un module nommé ppm : https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
  • 15. Exemple d’entrée ppolicy dn: cn=default,ou=ppolicy,dc=example,dc=com objectClass: pwdPolicy objectClass: pwdPolicyChecker objectClass: device objectClass: top cn: default pwdAttribute: userPassword pwdCheckModule: ppm.so pwdAllowUserChange: TRUE pwdMustChange: TRUE pwdSafeModify : FALSE pwdCheckQuality: 2 Identity Days 2020 29 octobre 2020 pwdLockout: TRUE pwdMaxFailure: 10 pwdFailureCountInterval: 30 pwdLockoutDuration: 600 pwdExpireWarning: 0 pwdMaxAge: 31536000 pwdMinAge: 600 pwdGraceAuthnLimit: 2 pwdMinLength: 8 pwdInHistory: 10
  • 16. Attributs opérationnels pour le statut ● pwdPolicySubentry : politique active pour ce compte ● pwdChangedTime : date de dernier changement de mot de passe ● pwdAccountLockedTime : date de verrouillage. Si la valeur est "000001010000Z", cela signifie que le compte est bloqué pour une durée indéterminée ● pwdFailureTime : listes des dates d’authentification ratées ● pwdHistory : historique des mots de passe ● pwdGraceUseTime : liste des dates de grâce d’authentifcation ● pwdReset : forcer le changement à la prochaine connexion Identity Days 2020 29 octobre 2020
  • 17. Overlay lastbind Overlay spécifique pour mémoriser la date de dernière authentification réussie (attribut opérationel authTimestamp) dn: olcOverlay=lastbind,olcDatabase={1}mdb,cn=config objectClass: top objectClass: olcConfig objectClass: olcLastBindConfig objectClass: olcOverlayConfig olcOverlay: lastbind olcLastBindPrecision: 1 Identity Days 2020 29 octobre 2020
  • 18. Ce que personne ne vous a jamais dit Verrouillage de compte : avoir une valeur dans l’attribut pwdAccountLockedTime ne signifie pas que le compte est bloqué. Si la date courante est supérieure à la date de verrouillage à laquelle est ajoutée la durée de blocage, alors le compte n’est plus verrouillé. L’attribut sera supprimé à la prochaine authentification. Réinitialisation du mot de passe : même si une réinitialisation du mot de passe est demandée, l’authentification est valide. OpenLDAP limite les opérations possibles ensuite pour n’autoriser que la modification du mot de passe. Cependant cela n’impacte pas les applications qui ne font qu’une requête d’authentification. Identity Days 2020 29 octobre 2020
  • 19. Les outils du projet LDAP Tool Box Identity Days 2020 29 octobre 2020
  • 20. Self Service Password Identity Days 2020 29 octobre 2020 ● Logiciel Libre (licence GPL) ● Destiné aux utilisateurs finaux ● Changement ou réinitialisation de mot de passe ● Utilisation d’un jeton par mail, SMS ou de questions de sécurité ● Modification de sa clé SSH ● Utilisation de la politique de l’annuaire ou d’une politique locale ● Fonctionne avec un annuaire LDAP standard et avec Active Directory
  • 21. Service Desk Les problèmes rencontrés par les utilisateurs avec le système d’authentification sont souvent liées à un mot de passe perdu, expiré ou bloqué Les équipes de support ont rarement accès directement à l’annuaire LDAP et ne savent pas comment fonctionne la politique des mots de passe Les équipes de support ont besoin d’un outil qui donne rapidement le statut d’un compte afin d’aider les utilisateurs Identity Days 2020 29 octobre 2020
  • 22. Service Desk ● Logiciel Libre (licence GPL) ● Destiné aux équipes de support ● Recherche d’un compte ● Affichage des attributs principaux ● Affichage du statut du compte ● Vérification du mot de passe courant ● Réinitialisation du mot de passe ● Verrouillage/déverrouillage Identity Days 2020 29 octobre 2020
  • 23. Pour aller plus loin Identity Days 2020 29 octobre 2020
  • 24. Quelques liens OpenLDAP https://www.openldap.org/ LDAP Tool Box https://ltb-project.org LDAP Tool Box Self Service Password https://github.com/ltb-project/self-service-password LDAP Tool Box Service Desk https://github.com/ltb-project/service-desk LDAP Tool Box ppm https://github.com/ltb-project/ppm Identity Days 2020 29 octobre 2020
  • 25. Merci à tous nos partenaires ! 29 octobre 2020 @IdentityDays #identitydays2020