Proposition Scénario #31404
Mis à jour par Daniel Dehennin il y a plus de 3 ans
Dans le cas ou un administrateur force le changement de mot de passe dans RSAT, un attribut *@pwdLastSet@* est modifié:
<pre><code class="diff">
--- prof1.init 2020-12-11 16:09:43.493864053 +0100
+++ prof1.reset 2020-12-11 16:09:48.646040330 +0100
@@ -16,6 +16,7 @@
instanceType: 4
lastLogoff: 0
lastLogon: 0
+lockoutTime: 0
logonCount: 0
mail: prof1@etb1.ac-test.fr
memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
@@ -30,12 +31,12 @@
personalTitle: M.
primaryGroupID: 513
profilePath: \\scribe\prof1\profil
-pwdLastSet: 132521233510864030
+pwdLastSet: 0
sAMAccountName: prof1
sAMAccountType: 805306368
sn: Prof1
userAccountControl: 544
-uSNChanged: 4354
+uSNChanged: 4389
uSNCreated: 4341
-whenChanged: 20201211012231.0Z
+whenChanged: 20201211150014.0Z
whenCreated: 20201211012226.0Z
</code></pre>
A la connexion, l'utilisateur DOIT modifier son mot de passe. Suite à la cette modification l'attribut est modifié pour signaler que le mot de passe est modifié :
<pre><code class="diff">
--- prof1.reset 2020-12-11 16:09:48.646040330 +0100
+++ prof1.after-first-login 2020-12-11 16:10:37.831723787 +0100
@@ -15,9 +15,10 @@
info: EOLE
instanceType: 4
lastLogoff: 0
-lastLogon: 0
+lastLogon: 132521728582620010
+lastLogonTimestamp: 132521728567002350
lockoutTime: 0
-logonCount: 0
+logonCount: 4
mail: prof1@etb1.ac-test.fr
memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
name: prof1
@@ -31,12 +32,12 @@
personalTitle: M.
primaryGroupID: 513
profilePath: \\scribe\prof1\profil
-pwdLastSet: 0
+pwdLastSet: 132521728567262260
sAMAccountName: prof1
sAMAccountType: 805306368
sn: Prof1
userAccountControl: 544
-uSNChanged: 4389
+uSNChanged: 4391
uSNCreated: 4341
-whenChanged: 20201211150014.0Z
+whenChanged: 20201211150736.0Z
whenCreated: 20201211012226.0Z
</code></pre>
Dans OpenLdap du Scribe, il n'existe pas de transfert de AD -> OpenLdap.
Il faut ajouter :
* une tache de synchronisation dans *@lsc.xml@* pour les *@pwdLastSet@* (et peut-être d’autres attributs implémentant les "politiques de mot de passe LDAP":https://ldapwiki.com/wiki/Password%20Policy utiles)
* définir les attributs qui vont bien dans *@changepasswordeole.pl@* afin d’annuler le délai de synchronisation.
<pre><code class="diff">
--- prof1.init 2020-12-11 16:09:43.493864053 +0100
+++ prof1.reset 2020-12-11 16:09:48.646040330 +0100
@@ -16,6 +16,7 @@
instanceType: 4
lastLogoff: 0
lastLogon: 0
+lockoutTime: 0
logonCount: 0
mail: prof1@etb1.ac-test.fr
memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
@@ -30,12 +31,12 @@
personalTitle: M.
primaryGroupID: 513
profilePath: \\scribe\prof1\profil
-pwdLastSet: 132521233510864030
+pwdLastSet: 0
sAMAccountName: prof1
sAMAccountType: 805306368
sn: Prof1
userAccountControl: 544
-uSNChanged: 4354
+uSNChanged: 4389
uSNCreated: 4341
-whenChanged: 20201211012231.0Z
+whenChanged: 20201211150014.0Z
whenCreated: 20201211012226.0Z
</code></pre>
A la connexion, l'utilisateur DOIT modifier son mot de passe. Suite à la cette modification l'attribut est modifié pour signaler que le mot de passe est modifié :
<pre><code class="diff">
--- prof1.reset 2020-12-11 16:09:48.646040330 +0100
+++ prof1.after-first-login 2020-12-11 16:10:37.831723787 +0100
@@ -15,9 +15,10 @@
info: EOLE
instanceType: 4
lastLogoff: 0
-lastLogon: 0
+lastLogon: 132521728582620010
+lastLogonTimestamp: 132521728567002350
lockoutTime: 0
-logonCount: 0
+logonCount: 4
mail: prof1@etb1.ac-test.fr
memberOf: CN=professeurs,CN=Users,DC=dompedago,DC=etb1,DC=lan
name: prof1
@@ -31,12 +32,12 @@
personalTitle: M.
primaryGroupID: 513
profilePath: \\scribe\prof1\profil
-pwdLastSet: 0
+pwdLastSet: 132521728567262260
sAMAccountName: prof1
sAMAccountType: 805306368
sn: Prof1
userAccountControl: 544
-uSNChanged: 4389
+uSNChanged: 4391
uSNCreated: 4341
-whenChanged: 20201211150014.0Z
+whenChanged: 20201211150736.0Z
whenCreated: 20201211012226.0Z
</code></pre>
Dans OpenLdap du Scribe, il n'existe pas de transfert de AD -> OpenLdap.
Il faut ajouter :
* une tache de synchronisation dans *@lsc.xml@* pour les *@pwdLastSet@* (et peut-être d’autres attributs implémentant les "politiques de mot de passe LDAP":https://ldapwiki.com/wiki/Password%20Policy utiles)
* définir les attributs qui vont bien dans *@changepasswordeole.pl@* afin d’annuler le délai de synchronisation.