132 lines
6.8 KiB
HTML
132 lines
6.8 KiB
HTML
<!DOCTYPE html>
|
|
<html lang="fr" dir="ltr">
|
|
<head>
|
|
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
|
|
<meta charset="utf-8" />
|
|
<title>documentation:2.0:authad</title><!-- //if:usedebianlibs
|
|
<link rel="stylesheet" type="text/css" href="/javascript/bootstrap/css/bootstrap.min.css" />
|
|
//elsif:useexternallibs
|
|
<link rel="stylesheet" type="text/css" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css"></script>
|
|
//elsif:cssminified
|
|
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.min.css" />
|
|
//else --><!-- //endif -->
|
|
<meta name="generator" content="DokuWiki"/>
|
|
<meta name="robots" content="index,follow"/>
|
|
<meta name="keywords" content="documentation,2.0,authad"/>
|
|
<link rel="search" type="application/opensearchdescription+xml" href="lib/exe/opensearch.html" title="LemonLDAP::NG"/>
|
|
<link rel="start" href="authad.html"/>
|
|
<link rel="contents" href="authad.html" title="Sitemap"/>
|
|
<link rel="stylesheet" type="text/css" href="lib/exe/css.php.t.bootstrap3.css"/>
|
|
|
|
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.css" />
|
|
|
|
<script type="text/javascript">/*<![CDATA[*/var NS='documentation:2.0';var JSINFO = {"id":"documentation:2.0:authad","namespace":"documentation:2.0"};
|
|
/*!]]>*/</script>
|
|
<script type="text/javascript" charset="utf-8" src="lib/exe/js.php.t.bootstrap3.js"></script><!-- //if:usedebianlibs
|
|
<script type="text/javascript" src="/javascript/jquery/jquery.min.js"></script>
|
|
//elsif:useexternallibs
|
|
<script type="text/javascript" src="http://code.jquery.com/jquery-2.2.0.min.js"></script>
|
|
//elsif:jsminified
|
|
<script type="text/javascript" src="/static/bwr/jquery/dist/jquery.min.js"></script>
|
|
//else -->
|
|
|
|
<script type="text/javascript" src="/static/bwr/jquery/dist/jquery.js"></script><!-- //endif --><!-- //if:usedebianlibs
|
|
<script type="text/javascript" src="/javascript/jquery-ui/jquery-ui.min.js"></script>
|
|
//elsif:useexternallibs
|
|
<script type="text/javascript" src="http://code.jquery.com/ui/1.10.4/jquery-ui.min.js"></script>
|
|
//elsif:jsminified
|
|
<script type="text/javascript" src="/lib/scripts/jquery-ui.min.js"></script>
|
|
//else -->
|
|
|
|
|
|
<script type="text/javascript" src="/lib/scripts/jquery-ui.js"></script><!-- //endif -->
|
|
|
|
</head>
|
|
<body>
|
|
<div class="dokuwiki export container"><!-- TOC START -->
|
|
|
|
<div id="dw__toc">
|
|
<h3 class="toggle">Table of Contents</h3>
|
|
<div>
|
|
|
|
<ul class="toc">
|
|
<li class="level1"><div class="li"><a href="#presentation">Présentation</a></div></li>
|
|
<li class="level1"><div class="li"><a href="#configuration">Configuration</a></div></li>
|
|
<li class="level1"><div class="li"><a href="#ad_password_policy">Politique de mots-de-passe AD</a></div></li>
|
|
</ul>
|
|
</div>
|
|
</div><!-- TOC END -->
|
|
|
|
|
|
<h1 class="sectionedit1" id="active_directory">Active Directory</h1>
|
|
<div class="level1">
|
|
<div class="table sectionedit2"><table class="inline table table-bordered table-striped">
|
|
<thead>
|
|
<tr class="row0 roweven">
|
|
<th class="col0 centeralign"> Authentification </th><th class="col1 centeralign"> Utilisateurs </th><th class="col2 centeralign"> Mot-de-passe </th>
|
|
</tr>
|
|
</thead>
|
|
<tr class="row1 rowodd">
|
|
<td class="col0 centeralign"> ✔ </td><td class="col1 centeralign"> ✔ </td><td class="col2 centeralign"> ✔ </td>
|
|
</tr>
|
|
</table></div><!-- EDIT2 TABLE [33-102] -->
|
|
|
|
</div><!-- EDIT1 SECTION "Active Directory" [1-103] -->
|
|
|
|
<h2 class="sectionedit3" id="presentation">Présentation</h2>
|
|
<div class="level2">
|
|
|
|
<p>
|
|
Le module Active Directory est basé sur le <a href="authldap.html" class="wikilink1" title="documentation:2.0:authldap">module LDAP</a>, avec ces caractéristiques :
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> Valeurs spécifiques par défaut des filtres pour correspondre au schéma AD</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Compatibilité des modifications de mots-de-passe</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> Réinitialisation du mot-de-passe à la connexion suivante</div>
|
|
</li>
|
|
</ul>
|
|
|
|
</div><!-- EDIT3 SECTION "Presentation" [104-359] -->
|
|
|
|
<h2 class="sectionedit4" id="configuration">Configuration</h2>
|
|
<div class="level2">
|
|
|
|
<p>
|
|
La configuration est la même que mour le <a href="authldap.html" class="wikilink1" title="documentation:2.0:authldap">module LDAP</a>.
|
|
</p>
|
|
|
|
</div><!-- EDIT4 SECTION "Configuration" [360-451] -->
|
|
|
|
<h2 class="sectionedit5" id="ad_password_policy">Politique de mots-de-passe AD</h2>
|
|
<div class="level2">
|
|
|
|
<p>
|
|
La politique de mots-de-passe AD ne respecte pas les <abbr title="Request for Comments">RFC</abbr> LDAP, mais Microsoft a implementé sa propore politique. LemonLDAP::NG implémente partiellement cette politique :
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> Lorsque le paramètre pwdLastSet est positionné à 0 dans l'entrée utilisateur, ça signifie que le mot de passe a été réinitialisé et qu'un formulaire est présenté à l'utilisateur pour qu'il change son mot de passe.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> lorsque l'attribut virtuel compilé 'msDS-User-Account-Control-Computed' a le drapeau 6th positionné à 8, le mot de passe est considéré comme expiré. (support depuis la version Windows Server 2003) Il est trop tard pour l'utilisateur pour faire quoi que ce soit. Il doit contacter son administrateur.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> un avertissement avant expiration du mot de passe est possible dans AD, mais seuleent dans une GPO (Configuration de l'ordinateur\Paramètres Windows\Politiques locales\Options de sécurité pour le logon interactif: Demander à l'utilisateur de changer son mot de passe avant expiration). Toutefois, ça n'a pas de matérialisation dans le référentiel LDAP. Une variable “délai d'avertissement pour mot de passe avant expiration de celui-ci” peut être indiquée dans LemonLDAP::NG pour le faire.</div>
|
|
</li>
|
|
</ul>
|
|
<div class="noteimportant">Note : depuis AD 2012, chaque utilisateur peut disposer d'une politique 'expiration de mot-de-passe différente. Alors, la « durée de vie maximum du mot-de-passe » peut avoir des valeurs différentes. Ce n'est actuellement pas supporté par LemonLDAP::NG car toute politique doit etre calculée avec sa priorité pour connaître l'âge maximum à appliquer.
|
|
</div>
|
|
<p>
|
|
Pour configurer l'avertissement vant expiration, il faut indiquer deux variables des paramètres Active Directory dans le Manager:
|
|
</p>
|
|
<ul>
|
|
<li class="level1"><div class="li"> <strong>Délai d'avertissement d'expiration du mot-de-passe</strong> : nombre de secondes entre la date d'avertissement et l'expiration effective.</div>
|
|
</li>
|
|
<li class="level1"><div class="li"> <strong>Âge macimum du mot-de-passe</strong> : nombre de secondes entre le changement de mot-de-passe et son expiration. Ça doit correspondre avec la politique de l'AD</div>
|
|
</li>
|
|
</ul>
|
|
|
|
</div><!-- EDIT5 SECTION "AD password policy" [452-] -->
|
|
</div>
|
|
</body>
|
|
</html>
|