Project

General

Profile

Proposition Scénario #31404

Synchronisation pwdLastSet pour gérer la demande de changement à la 1ere connexion

Added by Gilles Grandgérard almost 3 years ago. Updated over 2 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Daniel Dehennin
Category:
-
Target version:
-
% Done:

0%

Description

Dans le cas ou un administrateur force le changement de mot de passe dans RSAT, un attribut pwdLastSet est modifié:

--- prof1.init    2020-12-11 16:09:43.493864053 +0100
+++ prof1.reset    2020-12-11 16:09:48.646040330 +0100
@@ -16,6 +16,7 @@
 instanceType: 4
 lastLogoff: 0
 lastLogon: 0
+lockoutTime: 0
 logonCount: 0
 mail: prof1@etb1.ac-test.fr
 memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
@@ -30,12 +31,12 @@
 personalTitle: M.
 primaryGroupID: 513
 profilePath: \\scribe\prof1\profil
-pwdLastSet: 132521233510864030
+pwdLastSet: 0
 sAMAccountName: prof1
 sAMAccountType: 805306368
 sn: Prof1
 userAccountControl: 544
-uSNChanged: 4354
+uSNChanged: 4389
 uSNCreated: 4341
-whenChanged: 20201211012231.0Z
+whenChanged: 20201211150014.0Z
 whenCreated: 20201211012226.0Z

A la connexion, l'utilisateur DOIT modifier son mot de passe. Suite à la cette modification l'attribut est modifié pour signaler que le mot de passe est modifié :

--- prof1.reset    2020-12-11 16:09:48.646040330 +0100
+++ prof1.after-first-login    2020-12-11 16:10:37.831723787 +0100
@@ -15,9 +15,10 @@
 info: EOLE
 instanceType: 4
 lastLogoff: 0
-lastLogon: 0
+lastLogon: 132521728582620010
+lastLogonTimestamp: 132521728567002350
 lockoutTime: 0
-logonCount: 0
+logonCount: 4
 mail: prof1@etb1.ac-test.fr
 memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
 name: prof1
@@ -31,12 +32,12 @@
 personalTitle: M.
 primaryGroupID: 513
 profilePath: \\scribe\prof1\profil
-pwdLastSet: 0
+pwdLastSet: 132521728567262260
 sAMAccountName: prof1
 sAMAccountType: 805306368
 sn: Prof1
 userAccountControl: 544
-uSNChanged: 4389
+uSNChanged: 4391
 uSNCreated: 4341
-whenChanged: 20201211150014.0Z
+whenChanged: 20201211150736.0Z
 whenCreated: 20201211012226.0Z

Dans OpenLdap du Scribe, il n'existe pas de transfert de AD -> OpenLdap.

Il faut ajouter :

  • une tache de synchronisation dans lsc.xml pour les attributs implémentant les politiques de mot de passe LDAP
  • définir les attributs qui vont bien dans changepasswordeole.pl afin d’annuler le délai de synchronisation.

Related issues

Related to SSO - Scénario #31512: Gérer le changement de mot de passe des utilisateurs depuis les SSO web Terminé (Sprint) 01/12/2021 02/19/2021
Related to EoleSSO - Scénario #31615: Gérer le changement de mot de passe des utilisateurs depuis EOLE SSO Terminé (Sprint) 02/22/2021 03/12/2021

History

#1 Updated by Daniel Dehennin almost 3 years ago

  • Description updated (diff)

#2 Updated by Daniel Dehennin almost 3 years ago

  • Description updated (diff)

#3 Updated by Daniel Dehennin almost 3 years ago

Je vais tester sur un scribeAD:

  1. installer lemonldap-ng-scribe
  2. activer le module de changement de mot de passe expiré
  3. tenter une connexion sur la mire d’authentification LemonLDAP::NG avec différentes valeurs pour différents attributs afin de déterminer quels sont les attributs à modifier côté OpenLDAP.

#4 Updated by Gilles Grandgérard almost 3 years ago

dans OpenLdap:

sambaPwdLastSet: 1607595133
sambaPwdMustChange: 1607595133

#5 Updated by Daniel Dehennin almost 3 years ago

Il y a plus simple, semble-t-il :

  • utiliser OpenLDAP comme référentiel utilisateur
  • utiliser l’Active Directory comme référentiel de mot de passe

#6 Updated by Daniel Dehennin almost 3 years ago

  • Assigned To set to Daniel Dehennin

#7 Updated by Daniel Dehennin almost 3 years ago

Et bien non, ce n’est pas plus simple.

La combinaison des modules entraine :

  1. Le module LDAP est responsable d’obtenir le DN de l’utilisateur
  2. Le module AD utilise le DN obtenu par le module LDAP pour jouer l’authentification

Cela ne fonctionne pas car les deux annuaires n’ont pas la même structure.

La seule solution actuellement disponible serait de faire un module personnalisé qui combinerait les deux modules en ajoutant une recherche du DN par le module AD afin de l’utiliser pour l’authentification (et le changement de mot de passe ?)

#8 Updated by Joël Cuissinat over 2 years ago

  • Due date deleted (12/18/2020)
  • Target version deleted (sprint 2020 49-51 Equipe MENSR)
  • Start date deleted (12/11/2020)

#9 Updated by Daniel Dehennin over 2 years ago

  • Related to Scénario #31512: Gérer le changement de mot de passe des utilisateurs depuis les SSO web added

#10 Updated by Daniel Dehennin over 2 years ago

  • Release changed from EOLE 2.8.0 to EOLE 2.8.0.1

#11 Updated by Daniel Dehennin over 2 years ago

  • Related to Scénario #31615: Gérer le changement de mot de passe des utilisateurs depuis EOLE SSO added

#12 Updated by Daniel Dehennin over 2 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Les scénarios #31512 et #31615 prennent en charge la gestion du changement de mot de passe.

#13 Updated by Joël Cuissinat over 2 years ago

  • Tracker changed from Scénario to Proposition Scénario
  • Status changed from Terminé (Sprint) to Fermé

Also available in: Atom PDF