Configuration d'une politique de mots de passe

Modifié par jhurst le 2024/04/02 14:26

Ce document décrit comment configurer une politique de mots de passe.


La politique de mot de passe se règle à deux endroits :

  • Les stratégies de protection, du cycle de vie, et une partie des contraintes de qualité du mot de passe se définissent directement dans le LDAP supporté en standard  ( OpenLDAP 2.0+).
  • Les règles de qualité du mot de passe (syntaxe) se définissent dans un fichier de configuration DigDash Enterprise.

Pour la partie configuration LDAP nous recommandons l'utilisation du logiciel Apache Directory Studio.

Accès à la politique de mot de passe LDAP

La politique du mot de passe dans LDAP passe par un intercepteur LDAP. Pour le configurer, il faut se connecter au LDAP avec Apache Directory Studio, avec un utilisateur admin LDAP.

Une fois connecté, dépliez les nœuds suivants (voir copie d'écran pour plus de détails) :

ou=config

ads-directoryServiceId=default

ou=interceptors

ads-interceptorId=authenticationInterceptor

ou=passwordPolicies

ads-pwdId=default

password_policy_config_fr_html_afcf25c35c161b74.png

Description des attributs principaux

Le tableau suivant décrit les attributs principaux utilisables pour configurer une politique de mot de passe dans OpenLDAP :

FonctionAttributTypeValeur défautDescription
ProtectionProtection du mot de passe en cas d'attaques. Bloque le mot de passe après un certain nombre de tentatives de connexions échouées.
ads-pwdlockoutBooléenTRUE

TRUE : Active la fonction de blocage du mot de passe

FALSE : désactive la fonction de blocage du mot de passe

ads-pwdlockoutdurationEntier (secondes)0

Détermine le temps de blocage en cas de tentatives infructueuses de saisies de mots de passe.

0 : blocage infini : Un administrateur du LDAP devra débloquer le mot de passe.

ads-pwdfailurecountintervalEntier (secondes)30Détermine le délai de purge du compteur des tentatives infructueuses.
ads-pwdmaxfailureEntier5Si la fonction de blocage de mot de passe est activée (ads-pwdlockout = TRUE), cet attribut détermine le nombre d'échecs successifs qui bloqueront le mot de passe.
Qualité

Règles de qualité du mot de passe

Note : Par défaut DigDash Enterprise stocke les mots de passe dans LDAP de façon "hachée" (hash). De ce fait ce dernier n'a pas le mot de passe original saisi par l'utilisateur et ne peut donc pas en contrôler la qualité.

Ce contrôle est directement effectué dans DigDash (voir chapitre suivant dans ce document).

Les attributs suivants sont documentés dans le cas où ce comportement par défaut serait modifié. Certains d'entre eux sont malgré tout utilisés (ex: historique).

ads-pwdcheckqualityEntier1

Type de qualité du mot de passe :

: La qualité du mot de passe n'est pas vérifiée.

: La qualité est contrôlée si possible (non haché). Si le mot de passe est haché, ou dans une forme impossible à évaluer, le mot de passe est accepté.

: La qualité est toujours contrôlée. Si le mot de passe est haché ou dans une forme impossible à évaluer, le mot de passe est rejeté.

Note : Le contrôle de qualité des mots de passe est effectué dans DigDash Enterprise. Il faut laisser la valeur de cet attribut à 0 ou 1.

ads-pwdinhistoryEntier5LDAP peut garder un historique des mots de passe utilisés pour un utilisateur. Cet attribut détermine le nombre d'entrées de cet historique.
ads-pwdminageEntier (secondes)0Si l'historique des mots de passe est actif, cet attribut détermine le délai minimal entre 2 changements de mot de passe.
ads-pwdminlengthEntier (caractères)1

Cet attribut détermine la longueur minimale du mot de passe en caractères.

Note : Le contrôle de qualité des mots de passe est effectué dans DigDash Enterprise. Il faut laisser la valeur de cet attribut à 1.

ads-pwdmaxlengthEntier (caractères)0

Cet attribut détermine la longueur maximale du mot de passe en caractères.

Note : Le contrôle de qualité des mots de passe est effectué dans DigDash Enterprise. Il faut laisser la valeur de cet attribut à 0.

Cycle de vieGestion du cycle de vie du mot de passe.
ads-pwdallowuserchangeBooléenTRUE

TRUE : L'utilisateur peut changer son mot de passe.

FALSE : L'utilisateur ne peut pas changer son mot de passe.

ads-pwdexpirewarningEntier (secondes)600Détermine si le serveur LDAP doit renvoyer un avertissement si une expiration de mot de passe va arriver dans le délai spécifié.
ads-pwdgraceauthnlimitEntier5

Si le mot de passe expire, cet attribut détermine le nombre de fois où l'utilisateur pourra quand même l'utiliser avant son expiration définitive.

Note : DigDash Enteprise consomme un jeton de ce compteur pour effectuer le changement de mot de passe. Il faut donc ajouter 1 à cette valeur cette valeur par rapport au nombre réel de tentatives que vous voulez permettre : Si ads-pwdgraceauthnlimit = 6, cela correspond à 5 tentatives réelles pour l’utilisateur. Les messages d’avertissements prennent en compte ce décalage.

ads-pwdgraceexpireEntier (secondes)0

Si le mot de passe expire, cet attribut détermine le délai pendant lequel l'utilisateur pourra quand même utiliser ce mot de passe avant son expiration définitive.

0 : pas de délai

ads-pwdmaxageEntier (secondes)0

Durée de vie du mot de passe avant expiration.

0 : le mot de passe n'expire jamais.

ads-pwdmaxidleEntier (secondes)0Délai d'inactivité maximum du mot de passe. Une fois ce délai dépassé le mot de passe expire.
ads-pwdmustchangeBooléenFALSETRUE : le mot de passe doit être changé.
ads-pwdsafemodifyBooléenFALSE

Pour le changement de mot de passe.

TRUE : L'utilisateur doit saisir son mot de passe actuel avant modification.

FALSE : L'utilisateur ne doit pas saisir son mot de passe actuel avant modification.

Note : DigDash Enterprise force déjà la saisie du mot de passe actuel avant sa modification. Ce paramètre doit rester FALSE.

AutreAutres fonctions avancées et/ou non supportées
ads-pwdmindelayEntier0Non supporté
ads-pwdmaxdelayEntier0Non supporté
ads-pwdattributeChaîneuserPassword

Nom de l'attribut où est stocké le mot de passe dans le LDAP.

Note : Changer ce paramètre est déconseillé dans DigDash Enterprise.

NB : Les changements des paramètres de la politique de mot de passe dans LDAP ne sont appliqués que sur les nouveaux mots de passe. Les mots de passe déjà existants conservent la politique de mot de passe qu’il y avait lors de leur création.

Important : La version 2018R2 introduit le support d’algorithmes de hachage SHA plus sécurisés que le SHA-1 (par défaut) pour LDAP. L’utilisation d’un algorithme de hachage « salé » (exemple SSHA...) peut perturber certaines particularités de la politique de mot de passe, telle que la gestion de l’historique (ads-pwdinhistory). En effet le salage introduit un nombre aléatoire lors de la création du mot de passe afin de garantir que la compromission d’un mot de passe ne compromette pas tous les mots de passe haché dans LDAP, et limite l’efficacité des attaques de force brute par dictionnaire sur les hachages. Mais ce nombre aléatoire rend impossible la comparaison par LDAP d’un nouveau mot de passe avec les précédents déjà utilisés. Si le support de cette fonctionnalité est nécessaire alors nous conseillons d’utiliser un hachage SHA-512 (non « salé ») et un mot de passe fort.

Configuration de la qualité du mot de passe (spécifique Digdash Enterprise)

Par défaut DigDash Enterprise stocke les mots de passe des utilisateurs de manière "hachée" dans LDAP. De ce fait ce dernier n'a pas le mot de passe original saisi par l'utilisateur et ne peut donc pas en contrôler la qualité. Ce contrôle est directement effectué dans DigDash.

Ce chapitre décrit comment configurer les contraintes de mot de passe.

Les règles de qualité du mot de passe sont définies dans le fichier passwordpolicyrepository.xml.

Un fichier par défaut est fourni, mais il ne contient aucune contrainte sur les mots de passe des utilisateurs. Le fichier par défaut est situé dans l'application web ddenterpriseapi mais il n'est pas conseillé de le modifier à cet emplacement à moins de perdre les modifications à la prochaine montée de version de l'outil.

Pour modifier les règles par défaut, la procédure la plus simple est :

  1. Copiez le fichier par défaut situé à l'emplacement suivant :
    <DD Install>/apache-tomcat/webapps/ddenterpriseapi/WEB-INF/ classes/resources/config/passwordpolicyrepository.xml
     
    vers l'emplacement suivant :
     <utilisateur>/Application Data/Enterprise Server/ddenterpriseapi/config/passwordpolicyrepository.xml
  2. Modifiez la copie avec un éditeur de texte
  3. Redémarrez le serveur Tomcat après modification.

Format du fichier passwordpolicyrepository.xml

Le fichier fourni par défaut contient le XML suivant :

<PasswordPolicyRepository>
   <Rules>
       <Profil>administrator</Profil>
       <Pattern>.*</Pattern>
       <MustHaveUpperCase>false</MustHaveUpperCase>
       <MustHaveLowerCase>false</MustHaveLowerCase>
       <MustHaveNumeric>false</MustHaveNumeric>
       <MustHaveSpecialChar>false</MustHaveSpecialChar>
       <MustNotContainID>false</MustNotContainID>
   </Rules>

   <Rules>
       <Profil>user</Profil>
       <Pattern>.*</Pattern>
       <MustHaveUpperCase>false</MustHaveUpperCase>
       <MustHaveLowerCase>false</MustHaveLowerCase>
       <MustHaveNumeric>false</MustHaveNumeric>
       <MustHaveSpecialChar>false</MustHaveSpecialChar>
       <MustNotContainID>false</MustNotContainID>
   </Rules>
</PasswordPolicyRepository>

Il définit deux règles, une pour le profil des administrateurs DigDash (admin, etc.) et une pour le profil des autres utilisateurs. Les deux règles ont la même syntaxe.

Ces deux profils vous permettent de spécifier une qualité de mot de passe différente pour les administrateurs et les utilisateurs.

Paramètres de règle

ParamètreTypeValeur défautDescription
ProfilChaîne

administrator

user

Nom du profil concerné par cette règle:

administrator : la règle concerne les administrateurs DigDash (admin, etc.)

user : la règle concerne tous les autres utilisateurs

Note : Pour l'instant aucune autre valeur ne sera prise en compte par DigDash Enterprise.

PatternChaîne (expression régulière).*

Expression régulière optionnelle permettant de spécifier une syntaxe de mot de passe plus complexe, en complément des autres paramètres (Voir paragraphe suivant).

.* : n'importe quelle syntaxe est autorisée.

Si le mot de passe ne répond pas à l'expression régulière, le mot de passe est rejeté quel que soit sa concordance avec les autres paramètres de la règle.

MustHaveUpperCaseBooléenfalse

true : le mot de passe doit contenir au moins un caractère majuscule.

false : le mot de passe peut ne pas contenir de caractère majuscule.

MustHaveLowerCaseBooléenfalse

true : le mot de passe doit contenir au moins un caractère minuscule.

false : le mot de passe peut ne pas contenir de caractère minuscule.

MustHaveNumericBooléenfalse

true : le mot de passe doit contenir au moins un chiffre.

false : le mot de passe peut ne pas contenir de chiffre.

MustHaveSpecialCharBooléenfalse

true : le mot de passe doit contenir au moins un caractère qui ne soit une lettre ou un chiffre.

false : le mot de passe peut ne pas contenir de caractère qui ne soit une lettre ou un chiffre.

MustNotContainIDBooléenfalse

true : le mot de passe ne doit pas contenir l'identifiant de l'utilisateur.

false : le mot de passe peut contenir l'identifiant de l'utilisateur.

Grammaire avancée via le paramètre Pattern (expressions régulières)

Le paramètre de règle Pattern permet de définir des contraintes plus évoluées sur les mots de passe en utilisant la syntaxe des expressions régulières.

Ce document n'est pas une référence sur les expressions régulières. Nous ne donnons que quelques exemples d'expressions qui peuvent être utiles à des cas d'usages plus fréquents.

Pour référence, la syntaxe Java Regex est utilisée lors de la vérification du Pattern.

Exemples :

  • Tout chaîne : .*
  • Spécifier une longueur minimale : .{8,}
  • Spécifier une longueur minimale et maximale : .{8,20}
  • Interdire les espaces et tabulations : (?=\S+$).*
  • Au moins un caractère numérique : (?=.*[0-9]).*
  • Au moins un caractère minuscule : (?=.*[a-z]).*
  • Au moins un caractère majuscule : (?=.*[A-Z]).*
  • Au moins un caractère spécial : (?=.*[@#$%^&+=_\-]).*

Il est possible de grouper ces expressions au sein d'une même expression régulière, par exemple :

((?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%^&+=])(?=\S+$).{8,})

(Notez les parenthèses autour de la combinaison)

NB : La vérification du mot de passe commence par la validation du pattern. Si le mot de passe ne répond pas aux contraintes de l'expression régulière, les autres paramètres simples de la règle ("Must...") ne seront pas vérifiés.