Tâche #28347
Scénario #28148: Traitement express MEN (21-23)
Il est impossible de changer le mot de passe "eole" en 2.7.0
0%
Description
eole@amon:~$ passwd passwd : Impossible de récupérer les informations d'authentification Mot de passe non changé
Related issues
Associated revisions
Only use passwdqc for password validation.
Ref #28347
Only use passwdqc for password validation.
Ref #28347
Do not set minimum length when validation is disabled.
Ref #28347
History
#1 Updated by Emmanuel GARETTE almost 2 years ago
Si je remet le fichier ubuntu original ca fonctionne :
password requisite pam_passwdqc.so similar=deny min=disabled,9,9,8,8 passphrase=0 max=40 password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512 password requisite pam_deny.so password required pam_permit.so
Plutôt que de templatiser ce fichier a priori on peut mettre les options dans un fichier.
Extrait du man :
The set of options that may be passed to the module is exactly the same as the set of options that may be specified in the /etc/passwdqc.conf file.
#2 Updated by Benjamin Bohard almost 2 years ago
- Tracker changed from Demande to Tâche
- Parent task set to #28148
#3 Updated by Gérald Schwartzmann almost 2 years ago
il s'agit du fichier /etc/pam.d/common-password
#4 Updated by Gérald Schwartzmann almost 2 years ago
- Assigned To set to Gérald Schwartzmann
#5 Updated by Gérald Schwartzmann almost 2 years ago
Impossible de reproduire le problème rencontré, testé sur Eole 2.7.1 et 2.7.0 en ssh et au travers de VNC
#6 Updated by Gérald Schwartzmann almost 2 years ago
- Status changed from Nouveau to En cours
#7 Updated by Gérald Schwartzmann almost 2 years ago
Reproduit en 2.6.2
#8 Updated by Benjamin Bohard almost 2 years ago
Il y a une incohérence entre les tests effectués par les deux modules pam_passwdqc et pam_unix.
Il faut donc faire un choix sur le module auquel on délègue la validation de la complexité.
Autre point à prendre en compte : il faut fournir un token au module pam_unix. Soit en lui passant depuis le module précédent, soit en lui laissant la charge de le demander à l’utilisateur.
Proposition :
password required pam_passwdqc.so similar=deny min=disabled,4,4,4,4 passphrase=0 max=40 ask_oldauthtok password requisite pam_unix.so nullok sha512 use_first_pass minlen=4
Dans cette proposition, pam_passwdqc demande le mot de passe actuel de l’utilisateur (ask_oldauthtok) qui est utilisé par pam_unix (use_first_pass). On ajoute minlen=4 pour que la contrainte de longueur de pam_unix ne contredise pas celle de passwdqc. et enfin, on enlève le paramètre obscure de pam_unix parce que ce n’est pas son rôle de valider la complexité.
#9 Updated by Benjamin Bohard almost 2 years ago
Pour être totalement cohérent, il faut également inhiber la vérification du nombre de caractère minimum par pam_unix lorsqu’on désactive la vérification de la complexité du mot de passe dans gen_config.
#10 Updated by Benjamin Bohard almost 2 years ago
Errata pour les versions 2.6.2 et 2.7.0
https://dev-eole.ac-dijon.fr/projects/modules-eole/wiki/Errata26
#11 Updated by Benjamin Bohard almost 2 years ago
- File common-password.patch View added
#12 Updated by Benjamin Bohard almost 2 years ago
- Status changed from En cours to Résolu
#13 Updated by Gérald Schwartzmann almost 2 years ago
- Copied to Tâche #28567: Il est impossible de changer le mot de passe "eole" en 2.7.0 added
#14 Updated by Gérald Schwartzmann almost 2 years ago
- Status changed from Résolu to Reporté