Proposition Scénario #31404
Synchronisation pwdLastSet pour gérer la demande de changement à la 1ere connexion
0%
Description
Dans le cas ou un administrateur force le changement de mot de passe dans RSAT, un attribut pwdLastSet
est modifié:
--- prof1.init 2020-12-11 16:09:43.493864053 +0100
+++ prof1.reset 2020-12-11 16:09:48.646040330 +0100
@@ -16,6 +16,7 @@
instanceType: 4
lastLogoff: 0
lastLogon: 0
+lockoutTime: 0
logonCount: 0
mail: prof1@etb1.ac-test.fr
memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
@@ -30,12 +31,12 @@
personalTitle: M.
primaryGroupID: 513
profilePath: \\scribe\prof1\profil
-pwdLastSet: 132521233510864030
+pwdLastSet: 0
sAMAccountName: prof1
sAMAccountType: 805306368
sn: Prof1
userAccountControl: 544
-uSNChanged: 4354
+uSNChanged: 4389
uSNCreated: 4341
-whenChanged: 20201211012231.0Z
+whenChanged: 20201211150014.0Z
whenCreated: 20201211012226.0Z
A la connexion, l'utilisateur DOIT modifier son mot de passe. Suite à la cette modification l'attribut est modifié pour signaler que le mot de passe est modifié :
--- prof1.reset 2020-12-11 16:09:48.646040330 +0100
+++ prof1.after-first-login 2020-12-11 16:10:37.831723787 +0100
@@ -15,9 +15,10 @@
info: EOLE
instanceType: 4
lastLogoff: 0
-lastLogon: 0
+lastLogon: 132521728582620010
+lastLogonTimestamp: 132521728567002350
lockoutTime: 0
-logonCount: 0
+logonCount: 4
mail: prof1@etb1.ac-test.fr
memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
name: prof1
@@ -31,12 +32,12 @@
personalTitle: M.
primaryGroupID: 513
profilePath: \\scribe\prof1\profil
-pwdLastSet: 0
+pwdLastSet: 132521728567262260
sAMAccountName: prof1
sAMAccountType: 805306368
sn: Prof1
userAccountControl: 544
-uSNChanged: 4389
+uSNChanged: 4391
uSNCreated: 4341
-whenChanged: 20201211150014.0Z
+whenChanged: 20201211150736.0Z
whenCreated: 20201211012226.0Z
Dans OpenLdap du Scribe, il n'existe pas de transfert de AD -> OpenLdap.
Il faut ajouter :
- une tache de synchronisation dans
lsc.xml
pour les attributs implémentant les politiques de mot de passe LDAP - définir les attributs qui vont bien dans
changepasswordeole.pl
afin d’annuler le délai de synchronisation.
Demandes liées
Historique
#1 Mis à jour par Daniel Dehennin il y a plus de 3 ans
- Description mis à jour (diff)
#2 Mis à jour par Daniel Dehennin il y a plus de 3 ans
- Description mis à jour (diff)
#3 Mis à jour par Daniel Dehennin il y a plus de 3 ans
Je vais tester sur un scribeAD:
- installer
lemonldap-ng-scribe
- activer le module de changement de mot de passe expiré
- tenter une connexion sur la mire d’authentification LemonLDAP::NG avec différentes valeurs pour différents attributs afin de déterminer quels sont les attributs à modifier côté
OpenLDAP
.
#4 Mis à jour par Gilles Grandgérard il y a plus de 3 ans
dans OpenLdap:
sambaPwdLastSet: 1607595133
sambaPwdMustChange: 1607595133
#5 Mis à jour par Daniel Dehennin il y a plus de 3 ans
Il y a plus simple, semble-t-il :
- utiliser OpenLDAP comme référentiel utilisateur
- utiliser l’Active Directory comme référentiel de mot de passe
#6 Mis à jour par Daniel Dehennin il y a plus de 3 ans
- Assigné à mis à Daniel Dehennin
#7 Mis à jour par Daniel Dehennin il y a plus de 3 ans
Et bien non, ce n’est pas plus simple.
La combinaison des modules entraine :
- Le module
LDAP
est responsable d’obtenir leDN
de l’utilisateur - Le module
AD
utilise leDN
obtenu par le moduleLDAP
pour jouer l’authentification
Cela ne fonctionne pas car les deux annuaires n’ont pas la même structure.
La seule solution actuellement disponible serait de faire un module personnalisé qui combinerait les deux modules en ajoutant une recherche du DN
par le module AD
afin de l’utiliser pour l’authentification (et le changement de mot de passe ?)
#8 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Echéance
18/12/2020supprimé - Version cible
sprint 2020 49-51 Equipe MENSRsupprimé - Début
11/12/2020supprimé
#9 Mis à jour par Daniel Dehennin il y a plus de 3 ans
- Lié à Scénario #31512: Gérer le changement de mot de passe des utilisateurs depuis les SSO web ajouté
#10 Mis à jour par Daniel Dehennin il y a environ 3 ans
- Release changé de EOLE 2.8.0 à EOLE 2.8.0.1
#11 Mis à jour par Daniel Dehennin il y a environ 3 ans
- Lié à Scénario #31615: Gérer le changement de mot de passe des utilisateurs depuis EOLE SSO ajouté
#12 Mis à jour par Daniel Dehennin il y a environ 3 ans
- Statut changé de Nouveau à Terminé (Sprint)
#13 Mis à jour par Joël Cuissinat il y a presque 3 ans
- Tracker changé de Scénario à Proposition Scénario
- Statut changé de Terminé (Sprint) à Fermé