https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2018-06-21T08:34:02ZEnsemble Ouvert Libre ÉvolutifDistribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1173312018-06-21T08:34:02ZEmmanuel IHRYemmanuel.ihry@developpement-durable.gouv.fr
<ul><li><strong>Description</strong> mis à jour (<a title="Voir les différences" href="/journals/117331/diff?detail_id=162116">diff</a>)</li><li><strong>Assigné à</strong> mis à <i>Benjamin Bohard</i></li></ul> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1271862019-01-08T07:31:17ZEmmanuel IHRYemmanuel.ihry@developpement-durable.gouv.fr
<ul></ul><p>Le besoin précis en terme d'éolisation du paramétrage de la génération des Hash sera spécifié par le MTES pour le 11/01 au + tard</p> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1271972019-01-08T08:36:39ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Tâche parente</strong> changé de <i>#23999</i> à <i>#26377</i></li></ul> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1272002019-01-08T08:39:48ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Description</strong> mis à jour (<a title="Voir les différences" href="/journals/127200/diff?detail_id=175482">diff</a>)</li></ul> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1272992019-01-08T15:58:28ZGilles GrandgérardGilles.Grandgerard@region-academique-bourgogne-franche-comte.fr
<ul></ul><p>1°) Changelog samba 4.8: Etudier "--plaintext-secrets" et ses conséquences sur les mots de passe.<br />L'idée pourrait être d'ajouter une variable dans le dico qui activerait ou non ce mécanisme<br />Par défaut, nous ne l'utiliserions pas</p>
<p>2°) Se poser la question de la sauvegarde de 'encrypted_secrets.key'</p>
<pre>
Encrypted secrets
-----------------
Attributes deemed to be sensitive are now encrypted on disk. The sensitive
values are currently:
pekList
msDS-ExecuteScriptPassword
currentValue
dBCSPwd
initialAuthIncoming
initialAuthOutgoing
lmPwdHistory
ntPwdHistory
priorValue
supplementalCredentials
trustAuthIncoming
trustAuthOutgoing
unicodePwd
clearTextPassword
This encryption is enabled by default on a new provision or join, it can be disabled at provision or join time with the new option '--plaintext-secrets'.
However, an in-place upgrade will not encrypt the database.
Once encrypted, it is not possible to do an in-place downgrade (eg to 4.7) of the database. To obtain an unencrypted copy of the database a new DC join should be performed,
specifying the '--plaintext-secrets' option.
The key file "encrypted_secrets.key" is created in the same directory as the database and should NEVER be disclosed. It is included by the samba_backup script.
</pre> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1273992019-01-10T12:41:29ZEmmanuel IHRYemmanuel.ihry@developpement-durable.gouv.fr
<ul></ul><p>Pour ce qui est de la génération des SHA256 et SHA512, je propose cette évolution :</p>
<p><strong>Coté DICO, en mode expert :</strong><br />Après le bloc "Gestion des services samba", et donc a avant le bloc "Environnnement réseau"</p>
<p>Ajout d'un bloc intitulé "Gestion des empreintes de mots de passe" avec ce contenu :</p>
<pre>
*Gestion des empruntes de mots de passe*
Générer une empreinte de type SHA256 : oui/non nombre de tour de hachage à utiliser : valeur de 1000 à 999999999, val par défaut = 5000
Générer une empreinte de type SHA512 : oui/non nombre de tour de hachage à utiliser : valeur de 1000 à 999999999, val par défaut = 5000
</pre>
<p>NB : en bulle d'aide indiquer que les empreintes seront générées après le prochain changement de mot de passe et récupérables via cette commande :<br />amba-tool user getpassword <USER>° --attributes=virtualCryptSHA512,virtualCryptSHA256</p>
<p>PS : Je suis preneur d'avis sur l'utilité de l'option : nombre de tour de hachage à utiliser</p>
<p><strong>Cote SMB.CONF</strong></p>
<p>En fonction des options choisies, générer une de lignes pouvant avoir ce type de valeurs :</p>
<pre>
password hash userPassword schemes = CryptSHA256
password hash userPassword schemes = CryptSHA256 CryptSHA512
password hash userPassword schemes = CryptSHA256:rounds=5000 CryptSHA512:rounds=7000
</pre> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1276992019-01-18T08:55:09ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Projet</strong> changé de <i>EOLE AD DC</i> à <i>Distribution EOLE</i></li><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li></ul> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1277222019-01-18T13:36:36ZBenjamin Bohardbbohard@cadoles.com
<ul></ul><p>Le nombre d’itération pour le calcul du hash ne devrait peut-être pas avoir une valeur par défaut fixe (commune à tous les serveurs si la variable en mode expert n’est pas éditée).<br />D’un autre côté, il faut, a priori, avoir le même nombre d’itération sur les différentes serveurs DC d’un domaine.<br />Le nombre d’itération pourrait-il être aléatoire sur le DC primaire et non rempli pour celui des DC additionnels ?</p> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1277332019-01-18T16:15:20ZEmmanuel GARETTE
<ul><li><strong>% réalisé</strong> changé de <i>0</i> à <i>80</i></li><li><strong>Temps estimé</strong> mis à <i>6.00 h</i></li><li><strong>Restant à faire (heures)</strong> mis à <i>3.0</i></li></ul><p>Reste a voir les valeurs par défaut.</p> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1277542019-01-21T11:08:37ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu</i></li></ul> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1277572019-01-21T11:08:45ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li><li><strong>Restant à faire (heures)</strong> changé de <i>3.0</i> à <i>0.0</i></li></ul> Distribution EOLE - Tâche #24000: Ajout de variables permettant de générer les hash HA256 et SHA512https://dev-eole.ac-dijon.fr/issues/24000?journal_id=1280412019-01-28T10:30:39ZJoël Cuissinatjoel.cuissinat@ac-dijon.fr
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-6 status-5 priority-4 priority-default closed child" href="/issues/26606">Tâche #26606</a>: Documenter les variables permettant de générer les hash SHA256 et SHA512</i> ajouté</li></ul>