commit 74314665fa3f3b72641f302fa2e98066916eca6e Author: Thomas Constans Date: Fri Nov 25 23:07:43 2022 +0100 instructions diff --git a/Readme.md b/Readme.md new file mode 100644 index 0000000..cbe884c --- /dev/null +++ b/Readme.md @@ -0,0 +1,24 @@ +# Ppolicy + +overlay permettant d'implémenter un contrôle de mot de passe coté serveur + +S'implémente en chargeant le schéma "ppolicy.ldif" et le fichier ldif ci-joint + +On s'aidera de la page de man _slapo_ppolicy__ pour expliciter les différents attributs du fichier ldif + +```bash +lda -f /etc/openldap/schema/ppolicy.ldif +lda -f overlay_ppolicy.ldif +``` + +## Pour tester: + +```bash +# en root tout est toujours possible... +ldpw uid=marie,,ou=users,dc=example,dc=fr -s 123 +# mais avec un compte utilisateur... +ldappasswd -WxD uid=marion,ou=users,dc=example,dc=fr uid=marion,ou=users,dc=example,dc=fr -s 123 +Enter LDAP Password: +Result: Constraint violation (19) +Additional info: Password fails quality checking policy +``` \ No newline at end of file diff --git a/overlay_ppolicy.ldif b/overlay_ppolicy.ldif new file mode 100644 index 0000000..dcd662f --- /dev/null +++ b/overlay_ppolicy.ldif @@ -0,0 +1,24 @@ +dn: cn=module,cn=config +objectClass: olcModuleList +olcModuleLoad: ppolicy.la + +dn: olcOverlay=ppolicy,olcDatabase={2}mdb,cn=config +objectClass: olcPPolicyConfig +olcPPolicyHashCleartext: TRUE +olcPPolicyDefault: cn=policy,dc=example,dc=fr + +dn: cn=policy,dc=example,dc=fr +objectClass: device +objectClass: pwdPolicyChecker +objectClass: pwdPolicy +pwdAllowUserChange: TRUE +pwdAttribute: userPassword +pwdCheckModule: check_password.so +# via le fichier /etc/openldap/check_password.conf +# on pourra définir des critères de robustesse +# supplémentaires (nb min de MAJ, nombre, symboles ...) +pwdLockout: TRUE +pwdMaxFailure: 3 +pwdLockoutDuration: 3600 +pwdMinLength: 12 +pwdCheckQuality: 2