Je configure un système dans lequel toutes les ressources informatiques sont disponibles via une seule paire utilisateur-mot de passe, que ce soit l'accès au shell sur les serveurs, la connexion au domaine Samba, WiFi, OpenVPN, Mantis, etc. (avec accès à des services spécifiques régis par appartenance à un groupe ou champs d'objet utilisateur). Étant donné que nous avons des données personnelles dans notre réseau, nous devons mettre en œuvre le vieillissement des mots de passe, conformément à la directive européenne sur la protection des données (ou plutôt à sa version polonaise).
Le problème est que les comptes Samba et POSIX dans LDAP utilisent des informations de hachage et de vieillissement de mot de passe différentes. Bien que la synchronisation des mots de passe eux-mêmes soit facile ( ldap password sync = Yes
dans smb.conf
), l'ajout de l'ancienneté des mots de passe au mélange rompt les choses: Samba ne met pas à jour shadowLastChange. Ensemble, obey pam restrictions = Yes
crée un système dans lequel un utilisateur Windows ne peut pas modifier le mot de passe ancien, mais si je ne l'utilise pas, les répertoires personnels ne seront pas créés automatiquement. L'alternative est d'utiliser l'utilisation de l'opération étendue LDAP pour le changement de mot de passe, mais le smbk5pwd
module ne le définit pas non plus. Pire encore, le mainteneur d'OpenLDAP ne le mettra pas à jour / n'acceptera pas les correctifs car ce champ est considéré comme obsolète.
Alors, ma question est, quelle est la meilleure solution? Quels sont leurs avantages et leurs inconvénients?
Utiliser LDAP
ppolicy
et le vieillissement de mot de passe LDAP interne?- Dans quelle mesure cela fonctionne-t-il avec NSS, modules PAM, samba, autres systèmes?
- Les modules NSS et PAM doivent-ils être configurés de manière spéciale pour utiliser ppolicy, pas shadow?
- GOsa² fonctionne- t-il avec ppolicy?
- Existe-t-il d'autres outils d'administration qui peuvent fonctionner avec
ppolicy
LDAP activé?
Hackez ensemble un script de changement de mot de passe qui met à jour le champ dans LDAP. (laissant la possibilité à l'utilisateur de mettre à jour le champ sans changer de mot de passe)