Project

General

Profile

Bac à idée #17665

Pouvoir personnaliser les restrictions sur les mots de passe Active Directory

Added by Klaas TJEBBES almost 5 years ago. Updated over 4 years ago.

Status:
Nouveau
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
-
Start date:
10/27/2016
Due date:
% Done:

0%

Spent time:

Description

root@dc1:~# samba-tool domain passwordsettings show
Password informations for domain 'DC=ac-test,DC=lan'

Password complexity: off
Store plaintext passwords: off
Password history length: 0
Minimum password length: 1
Minimum password age (days): 0
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

  • Les mots de passe doivent satisfaire les règles de complexité (Oui/Non)
    https://technet.microsoft.com/en-us/library/hh994562(v=ws.11).aspx
    1. Passwords may not contain the user's samAccountName (Account Name) value or entire displayName (Full Name value). Both checks are not case sensitive.
    2. The password contains characters from three of the following categories:
      • Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters)
      • Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters)
      • Base 10 digits (0 through 9)
      • Non-alphanumeric characters (special characters) (for example, !, $, #, %)
      • Any Unicode character that is categorized as an alphabetic character but is not uppercase or lowercase. This includes Unicode characters from Asian languages.
  samba-tool domain passwordsettings set --complexity=off
  • Taille/longueur de l'historique des mots de passe
    Nombre de mots de passe sont enregistrés pour que l'utilisateur ne puisse pas les ré-utiliser. Devrait-être combiné avec "min-pwd-age > 0" sinon un utilisateur peut changer de mot de passe autant de fois que nécessaire pour enlever son mot de passe de l'historique et le ré-utiliser.
      samba-tool domain passwordsettings set --history-length=0
    
  • Longueur minimum du mot de passe
    Nombre de caractères minimum que doit faire un mot de passe
      samba-tool domain passwordsettings set --min-pwd-length 1
    
  • Âge minimal du mot de passe en jours
    Nombre de jours que doit attendre un utilisateur, même DomainAdmins, pour pouvoir changer à nouveau son mot de passe
      samba-tool domain passwordsettings set --min-pwd-age 0
    
  • Âge maximal du mot de passe en jours
    Nombre de jours après lequel le système demandera à l'utilisateur de changer son mot de passe, 0=désactivé
      samba-tool domain passwordsettings set --max-pwd-age 1
    
  • Durée du verrouillage des comptes bloqués
    Durée en minutes pendant laquelle un compte ayant effectué trop de tentatives d'ouverture de sessions infructueuses est bloqué
      samba-tool domain passwordsettings set --account-lockout-duration 1
    
  • Nombre de tentative avant blocage d'un compte
    Nombre de mauvais mots de passe qu'un utilisateur peut entrer avant que son compte soit bloqué
      samba-tool domain passwordsettings set --account-lockout-threshold 3
    
  • Délai de réinitialisation du système de blocage de compte
    Délai en minutes après lequel le comptage de tentatives d'ouverture de sessions infructueuses est réinitialisé, ce délai commence après la dernière tentative infructueuse.
      samba-tool domain passwordsettings set --reset-account-lockout-after 5
    

Related issues

Related to Distribution EOLE - Scénario #30356: Sur ScribeAD, on peut diminuer la sécurité des mots de passe saisis alors que le serveur ne l'accepte pas Nouveau

History

#1 Updated by Klaas TJEBBES almost 5 years ago

  • Description updated (diff)

#2 Updated by Emmanuel IHRY almost 5 years ago

Est-ce que ceci doit cependant être Zephirisé ? A mon avis non car il s'agit de commandes qui doivent être considérées comme de la gestion courante de l'AD. Si l'on Zephirise ces paramètres, il pourrait y avoir une différence entre ce qui est saisi dans la conf EOLE et l'information stockée dans l'AD... D'autant plus si l'on a plusieurs controleurs AD (1 AD, plusieurs conf Zephir. La conf Zephir ne doit donc être spécifique qu'au serveur).

#3 Updated by Joël Cuissinat almost 5 years ago

  • Tracker changed from Demande to Proposition Scénario

#4 Updated by Scrum Master over 4 years ago

  • Tracker changed from Proposition Scénario to Bac à idée
  • Start date set to 10/27/2016

#5 Updated by Gilles Grandgérard 7 months ago

  • Related to Scénario #30356: Sur ScribeAD, on peut diminuer la sécurité des mots de passe saisis alors que le serveur ne l'accepte pas added

Also available in: Atom PDF