Tâche #28347
Scénario #28148: Traitement express MEN (21-23)
Il est impossible de changer le mot de passe "eole" en 2.7.0
0%
Description
eole@amon:~$ passwd passwd : Impossible de récupérer les informations d'authentification Mot de passe non changé
Demandes liées
Révisions associées
Only use passwdqc for password validation.
Ref #28347
Only use passwdqc for password validation.
Ref #28347
Do not set minimum length when validation is disabled.
Ref #28347
Historique
#1 Mis à jour par Emmanuel GARETTE il y a presque 5 ans
Si je remet le fichier ubuntu original ca fonctionne :
password requisite pam_passwdqc.so similar=deny min=disabled,9,9,8,8 passphrase=0 max=40 password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512 password requisite pam_deny.so password required pam_permit.so
Plutôt que de templatiser ce fichier a priori on peut mettre les options dans un fichier.
Extrait du man :
The set of options that may be passed to the module is exactly the same as the set of options that may be specified in the /etc/passwdqc.conf file.
#2 Mis à jour par Benjamin Bohard il y a presque 5 ans
- Tracker changé de Demande à Tâche
- Tâche parente mis à #28148
#3 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
il s'agit du fichier /etc/pam.d/common-password
#4 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
- Assigné à mis à Gérald Schwartzmann
#5 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
Impossible de reproduire le problème rencontré, testé sur Eole 2.7.1 et 2.7.0 en ssh et au travers de VNC
#6 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
- Statut changé de Nouveau à En cours
#7 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
Reproduit en 2.6.2
#8 Mis à jour par Benjamin Bohard il y a presque 5 ans
Il y a une incohérence entre les tests effectués par les deux modules pam_passwdqc et pam_unix.
Il faut donc faire un choix sur le module auquel on délègue la validation de la complexité.
Autre point à prendre en compte : il faut fournir un token au module pam_unix. Soit en lui passant depuis le module précédent, soit en lui laissant la charge de le demander à l’utilisateur.
Proposition :
password required pam_passwdqc.so similar=deny min=disabled,4,4,4,4 passphrase=0 max=40 ask_oldauthtok password requisite pam_unix.so nullok sha512 use_first_pass minlen=4
Dans cette proposition, pam_passwdqc demande le mot de passe actuel de l’utilisateur (ask_oldauthtok) qui est utilisé par pam_unix (use_first_pass). On ajoute minlen=4 pour que la contrainte de longueur de pam_unix ne contredise pas celle de passwdqc. et enfin, on enlève le paramètre obscure de pam_unix parce que ce n’est pas son rôle de valider la complexité.
#9 Mis à jour par Benjamin Bohard il y a presque 5 ans
Pour être totalement cohérent, il faut également inhiber la vérification du nombre de caractère minimum par pam_unix lorsqu’on désactive la vérification de la complexité du mot de passe dans gen_config.
#10 Mis à jour par Benjamin Bohard il y a presque 5 ans
Errata pour les versions 2.6.2 et 2.7.0
https://dev-eole.ac-dijon.fr/projects/modules-eole/wiki/Errata26
#11 Mis à jour par Benjamin Bohard il y a presque 5 ans
- Fichier common-password.patch Voir ajouté
#12 Mis à jour par Benjamin Bohard il y a presque 5 ans
- Statut changé de En cours à Résolu
#13 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
- Copié vers Tâche #28567: Il est impossible de changer le mot de passe "eole" en 2.7.0 ajouté
#14 Mis à jour par Gérald Schwartzmann il y a presque 5 ans
- Statut changé de Résolu à Reporté