Modifié par jhurst le 2024/04/02 14:26
Afficher les derniers auteurs
1 Ce document décrit comment configurer une politique de mots de passe.
2
3 {{ddtoc/}}
4
5 ----
6
7 La politique de mot de passe se règle à deux endroits :
8
9 * Les stratégies de **protection**, du **cycle de vie**, et une partie des contraintes de **qualité** du mot de passe se définissent directement dans le LDAP supporté en standard ( OpenLDAP 2.0+).
10 * Les règles de **qualité** du mot de passe (syntaxe) se définissent dans un fichier de configuration DigDash Enterprise.
11
12 Pour la partie configuration LDAP nous recommandons l'utilisation du logiciel **Apache Directory Studio**.
13
14 = Accès à la politique de mot de passe LDAP =
15
16 La politique du mot de passe dans LDAP passe par un intercepteur LDAP. Pour le configurer, il faut se connecter au LDAP avec **Apache Directory Studio**, avec un utilisateur admin LDAP.
17
18 Une fois connecté, dépliez les nœuds suivants (voir copie d'écran pour plus de détails) :
19
20 ou=config
21
22 ads-directoryServiceId=default
23
24 ou=interceptors
25
26 ads-interceptorId=authenticationInterceptor
27
28 ou=passwordPolicies
29
30 ads-pwdId=default
31
32 [[image:password_policy_config_fr_html_afcf25c35c161b74.png||height="372" width="544"]]
33
34 == Description des attributs principaux ==
35
36 Le tableau suivant décrit les attributs principaux utilisables pour configurer une politique de mot de passe dans OpenLDAP :
37
38 |**Fonction**|**Attribut**|**Type**|**Valeur défaut**|**Description**
39 |(% rowspan="5" %)**Protection**|(% colspan="4" %)Protection du mot de passe en cas d'attaques. Bloque le mot de passe après un certain nombre de tentatives de connexions échouées.
40 |ads-pwdlockout|Booléen|TRUE|(((
41 **TRUE** : Active la fonction de blocage du mot de passe
42
43 **FALSE** : désactive la fonction de blocage du mot de passe
44 )))
45 |ads-pwdlockoutduration|Entier (secondes)|0|(((
46 Détermine le temps de blocage en cas de tentatives infructueuses de saisies de mots de passe.
47
48 **0** : blocage infini : Un administrateur du LDAP devra débloquer le mot de passe.
49 )))
50 |ads-pwdfailurecountinterval|Entier (secondes)|30|Détermine le délai de purge du compteur des tentatives infructueuses.
51 |ads-pwdmaxfailure|Entier|5|Si la fonction de blocage de mot de passe est activée (ads-pwdlockout = TRUE), cet attribut détermine le nombre d'échecs successifs qui bloqueront le mot de passe.
52 |(% rowspan="6" %)**Qualité**|(% colspan="4" %)(((
53 Règles de qualité du mot de passe
54
55 //Note : Par défaut DigDash Enterprise stocke les mots de passe dans LDAP de façon "hachée" (hash). De ce fait ce dernier n'a pas le mot de passe original saisi par l'utilisateur et ne peut donc pas en contrôler la qualité.//
56
57 //Ce contrôle est directement effectué dans DigDash (voir chapitre suivant dans ce document).//
58
59 //Les attributs suivants sont documentés dans le cas où ce comportement par défaut serait modifié. Certains d'entre eux sont malgré tout utilisés (ex: historique).//
60 )))
61 |ads-pwdcheckquality|Entier|1|(((
62 Type de qualité du mot de passe :
63
64 **0 **: La qualité du mot de passe n'est pas vérifiée.
65
66 **1 **: La qualité est contrôlée si possible (non haché). Si le mot de passe est haché, ou dans une forme impossible à évaluer, le mot de passe est accepté.
67
68 **2 **: La qualité est toujours contrôlée. Si le mot de passe est haché ou dans une forme impossible à évaluer, le mot de passe est rejeté.
69
70 //Note : Le contrôle de qualité des mots de passe est effectué dans DigDash Enterprise. Il faut laisser la valeur de cet attribut à 0 ou 1.//
71 )))
72 |ads-pwdinhistory|Entier|5|LDAP peut garder un historique des mots de passe utilisés pour un utilisateur. Cet attribut détermine le nombre d'entrées de cet historique.
73 |ads-pwdminage|Entier (secondes)|0|Si l'historique des mots de passe est actif, cet attribut détermine le délai minimal entre 2 changements de mot de passe.
74 |ads-pwdminlength|Entier (caractères)|1|(((
75 Cet attribut détermine la longueur minimale du mot de passe en caractères.
76
77 //Note : Le contrôle de qualité des mots de passe est effectué dans DigDash Enterprise. Il faut laisser la valeur de cet attribut à 1.//
78 )))
79 |ads-pwdmaxlength|Entier (caractères)|0|(((
80 Cet attribut détermine la longueur maximale du mot de passe en caractères.
81
82 //Note : Le contrôle de qualité des mots de passe est effectué dans DigDash Enterprise. Il faut laisser la valeur de cet attribut à 0.//
83 )))
84 |(% rowspan="9" %)**Cycle de vie**|(% colspan="4" %)Gestion du cycle de vie du mot de passe.
85 |ads-pwdallowuserchange|Booléen|TRUE|(((
86 **TRUE **: L'utilisateur peut changer son mot de passe.
87
88 **FALSE **: L'utilisateur ne peut pas changer son mot de passe.
89 )))
90 |ads-pwdexpirewarning|Entier (secondes)|600|Détermine si le serveur LDAP doit renvoyer un avertissement si une expiration de mot de passe va arriver dans le délai spécifié.
91 |ads-pwdgraceauthnlimit|Entier|5|(((
92 Si le mot de passe expire, cet attribut détermine le nombre de fois où l'utilisateur pourra quand même l'utiliser avant son expiration définitive.
93
94 //Note : DigDash Enteprise consomme un jeton de ce compteur pour effectuer le changement de mot de passe. Il faut donc ajouter 1 à cette valeur cette valeur par rapport au nombre réel de tentatives que vous voulez permettre : Si ads-pwdgraceauthnlimit = 6, cela correspond à 5 tentatives réelles pour l’utilisateur. Les messages d’avertissements prennent en compte ce décalage.//
95 )))
96 |ads-pwdgraceexpire|Entier (secondes)|0|(((
97 Si le mot de passe expire, cet attribut détermine le délai pendant lequel l'utilisateur pourra quand même utiliser ce mot de passe avant son expiration définitive.
98
99 **0** : pas de délai
100 )))
101 |ads-pwdmaxage|Entier (secondes)|0|(((
102 Durée de vie du mot de passe avant expiration.
103
104 **0** : le mot de passe n'expire jamais.
105 )))
106 |ads-pwdmaxidle|Entier (secondes)|0|Délai d'inactivité maximum du mot de passe. Une fois ce délai dépassé le mot de passe expire.
107 |ads-pwdmustchange|Booléen|FALSE|**TRUE **: le mot de passe doit être changé.
108 |ads-pwdsafemodify|Booléen|FALSE|(((
109 Pour le changement de mot de passe.
110
111 **TRUE **: L'utilisateur doit saisir son mot de passe actuel avant modification.
112
113 **FALSE **: L'utilisateur ne doit pas saisir son mot de passe actuel avant modification.
114
115 //Note : DigDash Enterprise force déjà la saisie du mot de passe actuel avant sa modification. Ce paramètre doit rester FALSE.//
116 )))
117 |(% rowspan="4" %)**Autre**|(% colspan="4" %)Autres fonctions avancées et/ou non supportées
118 |ads-pwdmindelay|Entier|0|Non supporté
119 |ads-pwdmaxdelay|Entier|0|Non supporté
120 |ads-pwdattribute|Chaîne|userPassword|(((
121 Nom de l'attribut où est stocké le mot de passe dans le LDAP.
122
123 //Note : Changer ce paramètre est déconseillé dans DigDash Enterprise.//
124 )))
125
126 (% class="box infomessage" %)
127 (((
128 //NB : Les changements des paramètres de la politique de mot de passe dans LDAP ne sont appliqués que sur les nouveaux mots de passe. Les mots de passe déjà existants conservent la politique de mot de passe qu’il y avait lors de leur création.//
129 )))
130
131 (% class="box warningmessage" %)
132 (((
133 //Important : La version 2018R2 introduit le support d’algorithmes de hachage SHA plus sécurisés que le SHA-1 (par défaut) pour LDAP. L’utilisation d’un algorithme de hachage « salé » (exemple SSHA...) peut perturber certaines particularités de la politique de mot de passe, telle que la gestion de l’historique (ads-pwdinhistory). En effet le salage introduit un nombre aléatoire lors de la création du mot de passe afin de garantir que la compromission d’un mot de passe ne compromette pas tous les mots de passe haché dans LDAP, et limite l’efficacité des attaques de force brute par dictionnaire sur les hachages. Mais ce nombre aléatoire rend impossible la comparaison par LDAP d’un nouveau mot de passe avec les précédents déjà utilisés. Si le support de cette fonctionnalité est nécessaire alors nous conseillons d’utiliser un hachage SHA-512 (non « salé ») et un mot de passe fort.//
134 )))
135
136 = Configuration de la qualité du mot de passe (spécifique Digdash Enterprise) =
137
138 Par défaut DigDash Enterprise stocke les mots de passe des utilisateurs de manière "hachée" dans LDAP. De ce fait ce dernier n'a pas le mot de passe original saisi par l'utilisateur et ne peut donc pas en contrôler la qualité. Ce contrôle est directement effectué dans DigDash.
139
140 Ce chapitre décrit comment configurer les contraintes de mot de passe.
141
142 Les règles de qualité du mot de passe sont définies dans le fichier **passwordpolicyrepository.xml**.
143
144 Un fichier par défaut est fourni, mais il ne contient aucune contrainte sur les mots de passe des utilisateurs. Le fichier par défaut est situé dans l'application web ddenterpriseapi mais il n'est pas conseillé de le modifier à cet emplacement à moins de perdre les modifications à la prochaine montée de version de l'outil.
145
146 Pour modifier les règles par défaut, la procédure la plus simple est :
147
148 1. **Copiez** le fichier par défaut situé à l'emplacement suivant :
149 **<DD Install>/apache-tomcat/webapps/ddenterpriseapi/WEB-INF/ classes/resources/config/passwordpolicyrepository.xml
150 **vers l'emplacement suivant :
151 <utilisateur>/Application Data/Enterprise Server/ddenterpriseapi/config/**passwordpolicyrepository.xml**
152 1. **Modifiez** la copie avec un éditeur de texte
153 1. **Redémarrez** le serveur Tomcat après modification.
154
155 == Format du fichier **passwordpolicyrepository.xml** ==
156
157 Le fichier fourni par défaut contient le XML suivant :
158
159 {{code language="XML"}}
160 <PasswordPolicyRepository>
161 <Rules>
162 <Profil>administrator</Profil>
163 <Pattern>.*</Pattern>
164 <MustHaveUpperCase>false</MustHaveUpperCase>
165 <MustHaveLowerCase>false</MustHaveLowerCase>
166 <MustHaveNumeric>false</MustHaveNumeric>
167 <MustHaveSpecialChar>false</MustHaveSpecialChar>
168 <MustNotContainID>false</MustNotContainID>
169 </Rules>
170
171 <Rules>
172 <Profil>user</Profil>
173 <Pattern>.*</Pattern>
174 <MustHaveUpperCase>false</MustHaveUpperCase>
175 <MustHaveLowerCase>false</MustHaveLowerCase>
176 <MustHaveNumeric>false</MustHaveNumeric>
177 <MustHaveSpecialChar>false</MustHaveSpecialChar>
178 <MustNotContainID>false</MustNotContainID>
179 </Rules>
180 </PasswordPolicyRepository>
181 {{/code}}
182
183 Il définit deux règles, une pour le profil des administrateurs DigDash (admin, etc.) et une pour le profil des autres utilisateurs. Les deux règles ont la même syntaxe.
184
185 Ces deux profils vous permettent de spécifier une qualité de mot de passe différente pour les administrateurs et les utilisateurs.
186
187 == Paramètres de règle ==
188
189 |**Paramètre**|**Type**|**Valeur défaut**|**Description**
190 |Profil|Chaîne|(((
191 administrator
192
193 user
194 )))|(((
195 Nom du profil concerné par cette règle:
196
197 **administrator **: la règle concerne les administrateurs DigDash (admin, etc.)
198
199 **user **: la règle concerne tous les autres utilisateurs
200
201 //Note : Pour l'instant aucune autre valeur ne sera prise en compte par DigDash Enterprise.//
202 )))
203 |Pattern|Chaîne (expression régulière)|.*|(((
204 Expression régulière optionnelle permettant de spécifier une syntaxe de mot de passe plus complexe, en complément des autres paramètres (Voir paragraphe suivant).
205
206 **.*** : n'importe quelle syntaxe est autorisée.
207
208 Si le mot de passe ne répond pas à l'expression régulière, le mot de passe est rejeté quel que soit sa concordance avec les autres paramètres de la règle.
209 )))
210 |MustHaveUpperCase|Booléen|false|(((
211 **true **: le mot de passe doit contenir au moins un caractère majuscule.
212
213 **false **: le mot de passe peut ne pas contenir de caractère majuscule.
214 )))
215 |MustHaveLowerCase|Booléen|false|(((
216 **true **: le mot de passe doit contenir au moins un caractère minuscule.
217
218 **false **: le mot de passe peut ne pas contenir de caractère minuscule.
219 )))
220 |MustHaveNumeric|Booléen|false|(((
221 **true **: le mot de passe doit contenir au moins un chiffre.
222
223 **false **: le mot de passe peut ne pas contenir de chiffre.
224 )))
225 |MustHaveSpecialChar|Booléen|false|(((
226 **true **: le mot de passe doit contenir au moins un caractère qui ne soit une lettre ou un chiffre.
227
228 **false **: le mot de passe peut ne pas contenir de caractère qui ne soit une lettre ou un chiffre.
229 )))
230 |MustNotContainID|Booléen|false|(((
231 **true **: le mot de passe ne doit pas contenir l'identifiant de l'utilisateur.
232
233 **false **: le mot de passe peut contenir l'identifiant de l'utilisateur.
234 )))
235
236 == Grammaire avancée via le paramètre Pattern (expressions régulières) ==
237
238 Le paramètre de règle **Pattern** permet de définir des contraintes plus évoluées sur les mots de passe en utilisant la syntaxe des expressions régulières.
239
240 Ce document n'est pas une référence sur les expressions régulières. Nous ne donnons que quelques exemples d'expressions qui peuvent être utiles à des cas d'usages plus fréquents.
241
242 Pour référence, la syntaxe **Java Regex** est utilisée lors de la vérification du Pattern.
243
244 Exemples :
245
246 * Tout chaîne : **.***
247 * Spécifier une longueur minimale : **.{8,}**
248 * Spécifier une longueur minimale et maximale : **.{8,20}**
249 * Interdire les espaces et tabulations : **(?=\S+$).***
250 * Au moins un caractère numérique : **(?=.*[0-9]).***
251 * Au moins un caractère minuscule : **(?=.*[a-z]).***
252 * Au moins un caractère majuscule : **(?=.*[A-Z]).***
253 * Au moins un caractère spécial : **(?=.*[@#$%^&+=_\-]).***
254
255 Il est possible de grouper ces expressions au sein d'une même expression régulière, par exemple :
256
257 **((?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%^&+=])(?=\S+$).{8,})**
258
259 (Notez les parenthèses autour de la combinaison)
260
261 (% class="box infomessage" %)
262 (((
263 //NB : La vérification du mot de passe commence par la validation du pattern. Si le mot de passe ne répond pas aux contraintes de l'expression régulière, les autres paramètres simples de la règle ("Must...") ne seront pas vérifiés.//
264 )))