Scénario #31221
Mis à jour par Joël Cuissinat il y a plus de 3 ans
N'ayant a priori pas de solution pour contourner la demande de changement de mot de passe obligatoire via EoleSSO, nous souhaitons, comme proposé l'intégration du changement de mot de passe via LemonLDAP::NG sur *EOLE >= 2.8.0*.
h3. Solutions à mettre en œuvre
* pour EOLE >= *2.8.0*
* tester et valider le plugin de changement de mot de passe, en particulier dans le cas où le changement est obligatoire
* intégrer les modifications au paquet eole-lemonldap-ng (ajouter une variable ?)
h3. Critères d'acceptation
* le plugin est activé et fonctionnel
h3. Point d'attention
* vérifier la cohérence des politiques de mots de passe entre LemonLDAP::NG et AD
h3. Demande originale :
> Les utilisateurs doivent changer leur mot de passe à la première connexion.
> Cela pose un problème dans le cas d'un utilisateur qui n'a jamais ouvert de session sur une station intégrée au domaine tente de s'authentifier sur le SSO ou sur le serveur imap (cas d'une connexion depuis un poste non intégré avec thunderbird).
> L'authentification échoue sur les deux services.
>
>
Logs de eole-sso pour l'utilisateur prenom.eleve112:
> <pre>
> 2020-11-25T10:07:43.951358+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:07:43+0100 [LDAPClient,client] 'invalidCredentials'
> 2020-11-25T10:07:43.951514+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:07:43+0100 [LDAPClient,client] ! Echec de l'authentification : prenom.eleve112 !
> 2020-11-25T10:07:44.001433+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:07:44+0100 [HTTPChannel (TLSProtocolWrapper),10,127.0.0.1] ! Session utilisateur non reconnue : TGC-etb1ac-testfr-5013690db9ac2112a0455f2ee821f14acec90b4b742d3fb4e5bcc71d !
> </pre>
>
>
et ceux de courier-imap:
> <pre>
> nov. 25 10:16:55 scribe imapd[755]: Connection, ip=[::ffff:10.1.2.51]
> nov. 25 10:16:57 scribe imapd[755]: LOGIN FAILED, method=PLAIN, ip=[::ffff:10.1.2.51]
> nov. 25 10:16:57 scribe imapd[755]: authentication error: Input/output error
> </pre>
>
>
Dès que l'utlisateur prenom.eleve112 a ouvert une session sur une machine intégrée au domaine et changé son mot de passe. Toutes les applications acceptent les connexions
>
>
logs de courier-imap:
> <pre>
> nov. 25 10:26:09 scribe imapd[755]: Connection, ip=[::ffff:10.1.2.51]
> nov. 25 10:26:09 scribe imapd[755]: LOGIN, user=prenom.eleve112@i-etb1.ac-test.fr, ip=[::ffff:10.1.2.51], port=[43874], protocol=IMAP
> </pre>
>
>
log de eole-sso:
> <pre>
> 2020-11-25T10:28:37.746059+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPPageGetter (TLSMemoryBIOProtocol),client] ** Réponse du proxy valide : 200
> 2020-11-25T10:28:37.748814+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [twisted.web.client.HTTPClientFactory#info] Stopping factory <HTTPClientFactory: https://etb1.ac-test.fr/sso/login?service=https%3A%2F%2Fetb1.ac-test.fr%2Froundcube%2F%3F_task%3Dmail%26_action%3Dlogin>
> 2020-11-25T10:28:37.810709+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPChannel (TLSProtocolWrapper),15,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
> 2020-11-25T10:28:37.879613+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPChannel (TLSProtocolWrapper),18,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- Demande d'un ticket PGT pour devenir proxy CAS auprès du service imap://10.1.3.5
> 2020-11-25T10:28:37.879728+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPChannel (TLSProtocolWrapper),18,127.0.0.1] !! Url de proxy non valide (https obligatoire) !!
> 2020-11-25T10:28:38.152866+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:38+0100 [HTTPChannel (TLSProtocolWrapper),14,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
> 2020-11-25T10:28:39.303394+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:39+0100 [HTTPChannel (TLSProtocolWrapper),17,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
2020-11-25T10:28:39.304026+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:39+0100 [HTTPChannel (TLSProtocolWrapper),16,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
2020-11-25T10:29:39.324035+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:29:39+0100 [HTTPChannel (TLSProtocolWrapper),20,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
</pre>
h3. Solutions à mettre en œuvre
* pour EOLE >= *2.8.0*
* tester et valider le plugin de changement de mot de passe, en particulier dans le cas où le changement est obligatoire
* intégrer les modifications au paquet eole-lemonldap-ng (ajouter une variable ?)
h3. Critères d'acceptation
* le plugin est activé et fonctionnel
h3. Point d'attention
* vérifier la cohérence des politiques de mots de passe entre LemonLDAP::NG et AD
h3. Demande originale :
> Les utilisateurs doivent changer leur mot de passe à la première connexion.
> Cela pose un problème dans le cas d'un utilisateur qui n'a jamais ouvert de session sur une station intégrée au domaine tente de s'authentifier sur le SSO ou sur le serveur imap (cas d'une connexion depuis un poste non intégré avec thunderbird).
> L'authentification échoue sur les deux services.
>
>
Logs de eole-sso pour l'utilisateur prenom.eleve112:
> <pre>
> 2020-11-25T10:07:43.951358+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:07:43+0100 [LDAPClient,client] 'invalidCredentials'
> 2020-11-25T10:07:43.951514+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:07:43+0100 [LDAPClient,client] ! Echec de l'authentification : prenom.eleve112 !
> 2020-11-25T10:07:44.001433+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:07:44+0100 [HTTPChannel (TLSProtocolWrapper),10,127.0.0.1] ! Session utilisateur non reconnue : TGC-etb1ac-testfr-5013690db9ac2112a0455f2ee821f14acec90b4b742d3fb4e5bcc71d !
> </pre>
>
>
et ceux de courier-imap:
> <pre>
> nov. 25 10:16:55 scribe imapd[755]: Connection, ip=[::ffff:10.1.2.51]
> nov. 25 10:16:57 scribe imapd[755]: LOGIN FAILED, method=PLAIN, ip=[::ffff:10.1.2.51]
> nov. 25 10:16:57 scribe imapd[755]: authentication error: Input/output error
> </pre>
>
>
Dès que l'utlisateur prenom.eleve112 a ouvert une session sur une machine intégrée au domaine et changé son mot de passe. Toutes les applications acceptent les connexions
>
>
logs de courier-imap:
> <pre>
> nov. 25 10:26:09 scribe imapd[755]: Connection, ip=[::ffff:10.1.2.51]
> nov. 25 10:26:09 scribe imapd[755]: LOGIN, user=prenom.eleve112@i-etb1.ac-test.fr, ip=[::ffff:10.1.2.51], port=[43874], protocol=IMAP
> </pre>
>
>
log de eole-sso:
> <pre>
> 2020-11-25T10:28:37.746059+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPPageGetter (TLSMemoryBIOProtocol),client] ** Réponse du proxy valide : 200
> 2020-11-25T10:28:37.748814+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [twisted.web.client.HTTPClientFactory#info] Stopping factory <HTTPClientFactory: https://etb1.ac-test.fr/sso/login?service=https%3A%2F%2Fetb1.ac-test.fr%2Froundcube%2F%3F_task%3Dmail%26_action%3Dlogin>
> 2020-11-25T10:28:37.810709+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPChannel (TLSProtocolWrapper),15,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
> 2020-11-25T10:28:37.879613+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPChannel (TLSProtocolWrapper),18,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- Demande d'un ticket PGT pour devenir proxy CAS auprès du service imap://10.1.3.5
> 2020-11-25T10:28:37.879728+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:37+0100 [HTTPChannel (TLSProtocolWrapper),18,127.0.0.1] !! Url de proxy non valide (https obligatoire) !!
> 2020-11-25T10:28:38.152866+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:38+0100 [HTTPChannel (TLSProtocolWrapper),14,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
> 2020-11-25T10:28:39.303394+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:39+0100 [HTTPChannel (TLSProtocolWrapper),17,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
2020-11-25T10:28:39.304026+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:28:39+0100 [HTTPChannel (TLSProtocolWrapper),16,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
2020-11-25T10:29:39.324035+01:00 scribe.dompedago.etb1.lan eole-sso[1424]: 2020-11-25T10:29:39+0100 [HTTPChannel (TLSProtocolWrapper),20,127.0.0.1] TGC-etb1ac-testfr-edae1fd1925232fbb051560d65d0a7eda62d05b6a967feed7f7b7e78 -- ticket proxy délivré pour imap://10.1.3.5
</pre>