URL: https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-4 Title: Sortie de LDAP Tool Box Self Service Password 1.4 Authors: KPTN Benoît Sibaud Date: 2021-04-27T12:17:06+02:00 License: CC By-SA Tags: Score: 5 Le logiciel [_Self Service Password_](https://github.com/ltb-project/self-service-password/) est développé au sein du projet [LDAP Tool Box](https://ltb-project.org/wiki/). Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire [[LDAP]], y compris Active Directory ou Samba 4, ainsi que leur clef SSH. Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Les contraintes de qualité du mot de passe sont paramétrables : taille minimale, maximale, présence de différentes classes de caractères, caractères interdits, contrôle de la valeur par rapport à l’ancien mot de passe, à une liste de mots ou à un attribut de l’entrée. Le logiciel _Self Service Password_ est écrit en [[PHP]] et est sous [[licence publique générale GNU]]. La version 1.4 est sortie le 20 avril 2021. Les nouveautés de cette version sont présentées dans la suite de l’article. ---- [Dépêche sur la sortie de la version 1.3](https://linuxfr.org/news/sortie-de-ldap-tool-box-self-service-password-1-3) [Documentation](https://self-service-password.readthedocs.io/) [Dépôt git](https://github.com/ltb-project/self-service-password/) [Page sur DockerHub](https://hub.docker.com/r/ltbproject/self-service-password) ---- Framework Smarty ---------------- Mieux vaut tard que jamais, un framework de présentation est désormais utilisé pour séparer le code métier de l’affichage. Comme pour les autres produits développés au sein du projet LTB (White Pages et Service Desk), c’est le framework [Smarty](https://www.smarty.net/) qui a été choisi. Prehook ------- Les précédentes versions possédaient déjà un mécanisme de posthook : un script peut être exécuté après la modification du mot de passe pour par exemple le transmettre à d’autres référentiels. L’équivalent a été ajouté en prehook, qui permet d’appeler un script avant le changement du mot de passe. Cela est utile pour implémenter ses propres contrôles de qualité du mot de passe. API REST -------- Il est désormais possible d’interagir avec le logiciel via une [API REST](https://self-service-password.readthedocs.io/en/v1.4/webservices.html). Celle-ci dispose de trois méthodes : - Vérification de la qualité du mot de passe - Changement de mot de passe avec vérification de l’ancien mot de passe - Changement de mot de passe sans vérification de l’ancien mot de passe Ceci permet de définir sa politique des mots de passe dans Self Service Password et de l’utiliser depuis d’autres logiciels. Questions/Réponses ------------------ Il était déjà possible d’enregistrer une réponse à une question de sécurité pour pouvoir réinitialiser ensuite son mot de passe. Ce mécanisme a été enrichi pour permettre d’exiger plusieurs questions/réponses pour réinitialiser le mot de passe. Multi tenants ------------- Via l’envoi d’un en-tête HTTP, on peut désormais charger une configuration différente pour le logiciel. Cela permet de n’installer le logiciel qu’une seule fois mais de l’utiliser pour des annuaires/populations différentes. Image officielle Docker ----------------------- Une image Docker officielle est désormais fournie et disponible sur [Docker Hub](https://hub.docker.com/r/ltbproject/self-service-password). Usages avancés du protocole LDAP -------------------------------- On garde le meilleur pour la fin ! Les récentes évolutions du langage PHP et surtout de php-ldap permettent désormais d’utiliser quelques extensions du protocole LDAP : - Opération étendue de changement de mot de passe - Contrôle étendu ppolicy (password policy) L’utilisation du contrôle ppolicy améliore la remontée d’erreur lorsque le mot de passe est refusé par l’annuaire. On sait désormais si l’annuaire rejette le mot de passe parce qu’il est trop court, trop récent, trop faible ou déjà présent dans l’historique. Cela permet de reposer en partie sur la politique des mots de passe de l’annuaire.