openLDAP : changer le type de cryptage des MDP [Résolu]

IvyAlice · 30/11/2011, 11h20

Bonjour à tous,

J’espère que je poste sur la bonne partie du forum.

Voici le problème, dans notre openldap(2.4.11) les utilisateurs ont des mots de passes(userPassword) cryptés soit en ssha soit en smd5 (je suppose que c'est "hérité" d'une version précédente)

J'ai besoin de changer le type de cryptage en sha1 ou md5 et ce, pour tout le monde, et idéalement sans devoir redemander le mot de passe original à chaque utilisateur.

en plus j'ai vu avec slapcat qu'il existe aussi un champs SambaNTPasswd. Il n'apparaît pas dans la console visuelle phpldapmyadmin.
Est-ce que si le type de cryptage de userPassword change, il faut aussi changer cet attribut ?

Merci d'avance pour vos réponses,

Ivy

EDIT: Visiblement mon poste ne séduit pas, je suis donc ouverte à vos conseils et suggestions pour l'améliorer.

CedrX · 02/12/2011, 12h02

Citation:

Est-ce que si le type de cryptage de userPassword change, il faut aussi changer cet attribut ?

J'ai déjà été confronté à ce genre de problème. Et le fait de changer le cryptage dans la base LDAP ne changera pas automatiquement le mot de passe.

Il va falloir malheureusement repasser par la case "redemander le mot de passe"

IvyAlice · 04/12/2011, 09h59

Salut CedrX,

Merci pour ta réponse.

Par contre sais-tu comment forcer samba à utilisé tel ou tel mode de cryptage? (si je peux le forcer à crypter en md5 au prochain changement de mot de passe, par exemple, ça serait vraiment la solution idéale)

Je me suis mal exprimée, l'"attribut" en question que je ne sais pas s'il faut changer ou non est SambaNTPasswd

Par ce que j'ai essayé de changer userPassword + le type, mais au moment du loggin windows, le nouveau mot de passe a été complétement ignoré.

Ivy

CedrX · 05/12/2011, 16h12

Salut IvyAlice.
Je ne pense pas que tu puisses changer l'encodage du mot de passe contenu par l'attribut sambaNTPassword.
Du moins je ne connais pas d'option dans samba qui permette de le faire (et je ne pense pas qu'il y en ait)
D'après wikipedia

Citation:

NT Hash (MD4 of the little endian UTF-16 Unicode password)

IvyAlice · 12/12/2011, 11h26

Salut CedrX,

Merci pour ton lien.

Bon le plus simple (et p-e le plus sensé) finalement sera de forcer un nouveau type de cryptage dans slapd.conf avec le paramètre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

password-hash {SHA}

ou autre chose, selon la situation. Puis de demander à chacun de changer son mot de passe.

Ivy

30/11/2011, 11h20	#1
IvyAlice Nouveau Membre du Club Administrateur systèmes et réseaux Inscription : mars 2009 Messages : 67 Détails du profil Informations personnelles : Sexe : Localisation : Suisse Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : mars 2009 Messages : 67 Points : 29 Points : 29	openLDAP : changer le type de cryptage des MDP Bonjour à tous, J’espère que je poste sur la bonne partie du forum. Voici le problème, dans notre openldap(2.4.11) les utilisateurs ont des mots de passes(userPassword) cryptés soit en ssha soit en smd5 (je suppose que c'est "hérité" d'une version précédente) J'ai besoin de changer le type de cryptage en sha1 ou md5 et ce, pour tout le monde, et idéalement sans devoir redemander le mot de passe original à chaque utilisateur. en plus j'ai vu avec slapcat qu'il existe aussi un champs SambaNTPasswd. Il n'apparaît pas dans la console visuelle phpldapmyadmin. Est-ce que si le type de cryptage de userPassword change, il faut aussi changer cet attribut ? Merci d'avance pour vos réponses, Ivy EDIT: Visiblement mon poste ne séduit pas, je suis donc ouverte à vos conseils et suggestions pour l'améliorer.
	01

04/12/2011, 09h59	#3
IvyAlice Nouveau Membre du Club Administrateur systèmes et réseaux Inscription : mars 2009 Messages : 67 Détails du profil Informations personnelles : Sexe : Localisation : Suisse Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : mars 2009 Messages : 67 Points : 29 Points : 29	Quand il faut y aller... Salut CedrX, Merci pour ta réponse. Par contre sais-tu comment forcer samba à utilisé tel ou tel mode de cryptage? (si je peux le forcer à crypter en md5 au prochain changement de mot de passe, par exemple, ça serait vraiment la solution idéale) Je me suis mal exprimée, l'"attribut" en question que je ne sais pas s'il faut changer ou non est SambaNTPasswd Par ce que j'ai essayé de changer userPassword + le type, mais au moment du loggin windows, le nouveau mot de passe a été complétement ignoré. Ivy
	00

12/12/2011, 11h26	#5
IvyAlice Nouveau Membre du Club Administrateur systèmes et réseaux Inscription : mars 2009 Messages : 67 Détails du profil Informations personnelles : Sexe : Localisation : Suisse Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : mars 2009 Messages : 67 Points : 29 Points : 29	Salut CedrX, Merci pour ton lien. Bon le plus simple (et p-e le plus sensé) finalement sera de forcer un nouveau type de cryptage dans slapd.conf avec le paramètre Code : Sélectionner tout - Visualiser dans une fenêtre à part password-hash {SHA} ou autre chose, selon la situation. Puis de demander à chacun de changer son mot de passe. Ivy
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email