Project

General

Profile

Tâche #28347

Scénario #28148: Traitement express MEN (21-23)

Il est impossible de changer le mot de passe "eole" en 2.7.0

Added by Emmanuel GARETTE almost 2 years ago. Updated almost 2 years ago.

Status:
Reporté
Priority:
Normal
Start date:
05/17/2019
Due date:
% Done:

0%

Remaining (hours):

Description

eole@amon:~$ passwd 
passwd : Impossible de récupérer les informations d'authentification
Mot de passe non changé

common-password.patch View - patch pour les versions supportées antérieures à 2.7.1 (1.77 KB) Benjamin Bohard, 06/06/2019 11:20 AM


Related issues

Copied to Distribution EOLE - Tâche #28567: Il est impossible de changer le mot de passe "eole" en 2.7.0 Fermé 05/17/2019

Associated revisions

Revision f25446fb (diff)
Added by Benjamin Bohard almost 2 years ago

Only use passwdqc for password validation.

Ref #28347

Revision 37a6f8a7 (diff)
Added by Benjamin Bohard almost 2 years ago

Only use passwdqc for password validation.

Ref #28347

Revision daecbe62 (diff)
Added by Benjamin Bohard almost 2 years ago

Do not set minimum length when validation is disabled.

Ref #28347

History

#1 Updated by Emmanuel GARETTE almost 2 years ago

Si je remet le fichier ubuntu original ca fonctionne :

password        requisite                       pam_passwdqc.so similar=deny min=disabled,9,9,8,8 passphrase=0 max=40
password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
password        requisite                       pam_deny.so
password        required                        pam_permit.so

Plutôt que de templatiser ce fichier a priori on peut mettre les options dans un fichier.

Extrait du man :

The set of options that may be passed to the module is exactly the same as the set of options that may be specified in the /etc/passwdqc.conf file.

#2 Updated by Benjamin Bohard almost 2 years ago

  • Tracker changed from Demande to Tâche
  • Parent task set to #28148

#3 Updated by Gérald Schwartzmann almost 2 years ago

il s'agit du fichier /etc/pam.d/common-password

#4 Updated by Gérald Schwartzmann almost 2 years ago

  • Assigned To set to Gérald Schwartzmann

#5 Updated by Gérald Schwartzmann almost 2 years ago

Impossible de reproduire le problème rencontré, testé sur Eole 2.7.1 et 2.7.0 en ssh et au travers de VNC

#6 Updated by Gérald Schwartzmann almost 2 years ago

  • Status changed from Nouveau to En cours

#7 Updated by Gérald Schwartzmann almost 2 years ago

Reproduit en 2.6.2

#8 Updated by Benjamin Bohard almost 2 years ago

Il y a une incohérence entre les tests effectués par les deux modules pam_passwdqc et pam_unix.

Il faut donc faire un choix sur le module auquel on délègue la validation de la complexité.

Autre point à prendre en compte : il faut fournir un token au module pam_unix. Soit en lui passant depuis le module précédent, soit en lui laissant la charge de le demander à l’utilisateur.

Proposition :

password required   pam_passwdqc.so similar=deny min=disabled,4,4,4,4 passphrase=0 max=40 ask_oldauthtok
password requisite  pam_unix.so nullok sha512 use_first_pass minlen=4

Dans cette proposition, pam_passwdqc demande le mot de passe actuel de l’utilisateur (ask_oldauthtok) qui est utilisé par pam_unix (use_first_pass). On ajoute minlen=4 pour que la contrainte de longueur de pam_unix ne contredise pas celle de passwdqc. et enfin, on enlève le paramètre obscure de pam_unix parce que ce n’est pas son rôle de valider la complexité.

#9 Updated by Benjamin Bohard almost 2 years ago

Pour être totalement cohérent, il faut également inhiber la vérification du nombre de caractère minimum par pam_unix lorsqu’on désactive la vérification de la complexité du mot de passe dans gen_config.

#12 Updated by Benjamin Bohard almost 2 years ago

  • Status changed from En cours to Résolu

#13 Updated by Gérald Schwartzmann almost 2 years ago

  • Copied to Tâche #28567: Il est impossible de changer le mot de passe "eole" en 2.7.0 added

#14 Updated by Gérald Schwartzmann almost 2 years ago

  • Status changed from Résolu to Reporté

Also available in: Atom PDF