Ciao a tutti.
Ho provato ad eseguire il comando ldapmodify con il parametro -e ppolicy come 
suggerito e dall'output si vede l'intervento di ppolicy:
$ ladpmodify -e ppolicy [soliti parametri standard]
dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)

modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"

dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA== <= md5(qwerty)

modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"

dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: password

modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
ldap_modify: Constraint violation (19)
        additional info: Password is not being changed from existing value
control: 1.3.6.1.4.1.42.2.27.8.5.1 false MAOBAQg=
ppolicy: error=8 (New password is in list of old passwords)

[QUI MI BUTTA FUORI]

$ ladpmodify -e ppolicy [soliti parametri standard]
dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)

modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"

Se non ho capito male l'overlay ppolicy interviene anche se non uso ldappaswd 
(bene, me lo aspettavo) ma non fa controlli della password se non è passata in 
chiaro (nemmeno se ha lo stesso tipo di hash, che non mi aspettavo).

Non ho capito la frase di "simo" , non motivata, sulla minor sicurezza 
risultante dalla possibilità data a un entry (tramite un bind autenticato) di 
cambiarsi la password direttamente.

Michele Codutti
Area Servizi Informatici e Telematici (AINF)
Universita' degli Studi di Udine
via Delle Scienze, 208 - 33100 UDINE
tel: +39 0432 558928
fax: +39 0432 558911
e-mail: michele.codutti at uniud.it

Il giorno 20/giu/2012, alle ore 15:23, Marco Pizzoli ha scritto:

> Se ho capito quello che dici e fai, la spiegazione e' questa:
> 
> - Come ti ha gia' detto Luca, quando usi ldapmodify l'overlay ppolicy *NON* 
> viene coinvolto e quindi non interviene in alcun modo per bloccarti eventuali 
> modifiche che non rispettano vincoli di policy
> - Il confronto con le password precedentemente salvate avviene con quelle che 
> trovi (eventualmente) salvate nell'attributo operazionale pwdHistory. Questo 
> attributo e' creato dal ppolicy, quindi se non hai mai eseguito dei 
> ldappasswd, allora non lo trovi .
> 
> Venendo alla tua ultima ultima domanda:
> 
> 2012/6/20 Michele Codutti <michele.codu...@uniud.it>
> Ma allora perché se io cambio la password (sempre tramite ldapmodify) 
> passandogliela in chiaro allora mi impedisce il riutilizzo di una password 
> precedentemente usata (anche se è stata memorizzata come hash)???
> Esempio:
> $ ldapmodify [con tutti i parametri del caso]
> dn: cn=prova.ppolicy,dc=esempio,dc=it
> changetype: modify
> replace: userPassword
> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
> 
> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> 
> dn: cn=prova.ppolicy,dc=esempio,dc=it
> changetype: modify
> replace: userPassword
> userPassword: password
> 
> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> ldap_modify: Constraint violation (19)
>        additional info: Password is not being changed from existing value
> 
> Questo caso specifico non lo conosco per certo. Posso solo supporlo:
> - tu salvi un attributo come hash  --> tutto ok
> - tu cerchi di sovrascrivere quell'attributo con il corrispondente valore in 
> chiaro --> ti segnala che sovrascriveresti lo stesso valore. Non ti 
> succederebbe se useresti la password "salata".
> 
> Sinceramente dubito che sia il ppolicy a intervenire, in questo caso.
> Se invochi ldapmodify con il parametro "-e ppolicy" cosa ti dice?
> 
> Se per te non e' un problema, sarei curioso di vedere il log di slapd di 
> quando fai questa operazione.
> 
> Ciao
> M.
> 
>  
> Scusate, mi rendo conto di essere pignolo ma devo spiegare tecnicamente 
> perché il meccanismo non funziona come ci si aspettava. 
> Grazie ancora per l'attenzione.
> 
> Michele Codutti
> Area Servizi Informatici e Telematici (AINF)
> Universita' degli Studi di Udine
> via Delle Scienze, 208 - 33100 UDINE
> tel: +39 0432 558928
> fax: +39 0432 558911
> e-mail: michele.codutti at uniud.it
> 
> Il giorno 20/giu/2012, alle ore 12:57, Luca Scamoni ha scritto:
> 
> > L'overlay agisce solo sull'extop di cambio password no sulle normali 
> > operazioni ldap
> >
> > Il 20/06/2012 12:41, Michele Codutti ha scritto:
> >> Ciao a tutti, si uso ldapmodify perché il cambio password non sarà fatto 
> >> con ldappasswd ma con ldapmodyfy tramite un'applicazione su cui non ho il 
> >> controllo. Spero che questo spieghi meglio la problematica.
> >> Quindi ricapitolando se io faccio:
> >> $ ldapmodify [con tutti i parametri del caso]
> >> dn: cn=prova.ppolicy,dc=esempio,dc=it
> >> changetype: modify
> >> replace: userPassword
> >> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
> >>
> >> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> >>
> >> dn: cn=prova.ppolicy,dc=esempio,dc=it
> >> changetype: modify
> >> replace: userPassword
> >> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
> >>
> >> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> >>
> >>
> >> Mi aspettavo che la seconda modifica fosse impedita dal fatto che in 
> >> userPasswd è già presente la stessa stringa.
> >> NB: mi autentico con l'utente stesso a cui voglio cambiare la password non 
> >> con il rootDN.
> >>
> >> Michele Codutti
> >> Area Servizi Informatici e Telematici (AINF)
> >> Universita' degli Studi di Udine
> >> via Delle Scienze, 208 - 33100 UDINE
> >> tel: +39 0432 558928
> >> fax: +39 0432 558911
> >> e-mail: michele.codutti at uniud.it
> >>
> >> Il giorno 20/giu/2012, alle ore 09:45, Marco Pizzoli ha scritto:
> >>
> >>
> >>> Ciao Michele,
> >>> nel leggere la tua mail mi viene il dubbio che tu cambi la password 
> >>> semplicemente con un ldapmodify, anziche' con un ldappasswd. Ho capito 
> >>> bene?
> >>>
> >>> Marco
> >>>
> >>> 2012/6/20 Luca Scamoni
> >>> <luca.scam...@gruppopa.it>
> >>>
> >>> Veramente io mi meraviglio che tu possa pensare di passargli una password 
> >>> cifrata.
> >>> Quando all'operazione di cambio password tu gli passi una stringa (perchè 
> >>> questo è una password) lui non fa nient'altro che applicare l'hash 
> >>> predefinito e confrontare il risultato con quelle esistenti nella sua 
> >>> history.
> >>> Quindi se tu gli passi una stringa che rappresenta un hash lui non fa 
> >>> nient'altro che hasharla di nuovo e confrontare il nuovo hash con quelli 
> >>> memorizzati (e sarà sicuramente differente)
> >>>
> >>> Il 20/06/2012 09:27, Michele Codutti ha scritto:
> >>>
> >>>> Si esatto, il problema è che il tentativo non fallisce.
> >>>> Visto che le password precedenti sono memorizzate con la stessa 
> >>>> tipologia di hash (ho provato sia MD5 che SSHA) mi meraviglio che il mio 
> >>>> tentativo di memorizzare una password che è già presente in userPasswd 
> >>>> (nello stessa codifica) o in pwdHistory (qui la codifica sia binaria ma 
> >>>> che riesco a vedere che contiene l'hash nel formato originale) abbia 
> >>>> successo.
> >>>>
> >>>> Michele Codutti
> >>>> Area Servizi Informatici e Telematici (AINF)
> >>>> Universita' degli Studi di Udine
> >>>> via Delle Scienze, 208 - 33100 UDINE
> >>>> tel:
> >>>> +39 0432 558928
> >>>>
> >>>> fax:
> >>>> +39 0432 558911
> >>>>
> >>>> e-mail: michele.codutti at
> >>>> uniud.it
> >>>>
> >>>>
> >>>> Il giorno 19/giu/2012, alle ore 17:55, Luca Scamoni ha scritto:
> >>>>
> >>>>
> >>>>
> >>>>> Ciao,
> >>>>>     forse non ho capito...
> >>>>> tu cerchi di cambiare password passandogli l'hash di una delle password 
> >>>>> usate in precedenza?
> >>>>>
> >>>>> Il 19/06/2012 16:55, Michele Codutti ha scritto:
> >>>>>
> >>>>>
> >>>>>> Ciao a tutti, sto implementando delle politiche relative alle password 
> >>>>>> per diverse tipologie di password che ho nell'LDAP.
> >>>>>> In particolare vorrei che un utente non riutilizzi una password 
> >>>>>> recente. Ho attivato pertanto l'overlay ppolicy ed ho creato una nuova 
> >>>>>> entry per ogni politica che voglio impostare (con objectType: 
> >>>>>> pwdPolicy) a cui ho abilitato PwdInHistory=2.
> >>>>>> Fin qui tutto bene, e devo dire che avrei potuto risparmiarvi tutto 
> >>>>>> questo cappello di informazioni ma era per contestualizzarvi il mio 
> >>>>>> problema: quando, come utente (non come rootDN), mi cambio la password 
> >>>>>> e digito la stessa che ho in uso oppure anche una delle 2 precedenti 
> >>>>>> l'operazione avviene con successo! Credevo fosse un problema relativo 
> >>>>>> alla mancata attivazione della politica ma poi ho scoperto che se 
> >>>>>> cambio la password passandogliela in chiaro e non in forma "hashata" 
> >>>>>> allora il meccanismo si attiva, come mi aspettavo, e non posso 
> >>>>>> re-impostare una password precedente. Immaginavo potesse esserci un 
> >>>>>> problema del genere per la natura stessa della funzione di hash ma mi 
> >>>>>> immaginavo che in caso di utilizzo della medesima funzione di hash 
> >>>>>> ppolicy impedisse di riutilizzare una password.
> >>>>>> E' un problema o è così per qualche motivo?
> >>>>>>
> >>>>>> Vi ringrazio in anticipo per l'attenzione che mi vorrete dedicare.
> >>>>>>
> >>>>>> Michele Codutti
> >>>>>> Area Servizi Informatici e Telematici (AINF)
> >>>>>> Universita' degli Studi di Udine
> >>>>>> via Delle Scienze, 208 - 33100 UDINE
> >>>>>> tel:
> >>>>>> +39 0432 558928
> >>>>>>
> >>>>>> fax:
> >>>>>> +39 0432 558911
> >>>>>>
> >>>>>> e-mail: michele.codutti at
> >>>>>> uniud.it
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> OpenLDAP mailing list
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> OpenLDAP@mail.sys-net.it
> >>>>>> https://www.sys-net.it/mailman/listinfo/openldap
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> --
> >>>>> Luca Scamoni
> >>>>>
> >>>>> Gruppo Partners Associates
> >>>>> Via Timavo, 12 - 20124 Milano
> >>>>> Tel.
> >>>>> +39 02 67380435 - Fax +39 02 67386214
> >>>>>
> >>>>> Cell.
> >>>>> +39 348 0471710
> >>>>>
> >>>>> luca.scam...@gruppopa.it
> >>>>> www.GruppoPA.it
> >>>>>
> >>>>>
> >>>>>
> >>>>> <logoPA.jpg>
> >>>>>
> >>>>> Questo messaggio contiene informazioni confidenziali appartenenti a 
> >>>>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La 
> >>>>> divulgazione o copia, anche parziale e non autorizzata, è proibita. 
> >>>>> Gruppo Partners Associates non è responsabile se questo messaggio viene 
> >>>>> modificato o falsificato. Se non siete i designati riceventi di questo 
> >>>>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il 
> >>>>> mittente dell'errore dell'indirizzo di consegna e della cancellazione 
> >>>>> del messaggio.
> >>>>>
> >>>>> This e-mail contains confidential information belonging to Gruppo 
> >>>>> Partners Associates and it is intended solely for the address. The 
> >>>>> unauthorised disclosure or copying either whole or partial of this 
> >>>>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable 
> >>>>> for this e-mail if modified or falsified. If you are not the intended 
> >>>>> recipient of this e-mail, please delete it immediately from your system 
> >>>>> and notify the sender of the wrong delivery and the mail deletion.
> >>>>>
> >>>>> _______________________________________________
> >>>>> OpenLDAP mailing list
> >>>>>
> >>>>>
> >>>>> OpenLDAP@mail.sys-net.it
> >>>>> https://www.sys-net.it/mailman/listinfo/openldap
> >>>
> >>> --
> >>> Luca Scamoni
> >>>
> >>> Gruppo Partners Associates
> >>> Via Timavo, 12 - 20124 Milano
> >>> Tel. +39 02 67380435 - Fax +39 02 67386214
> >>> Cell. +39 348 0471710
> >>>
> >>> luca.scam...@gruppopa.it
> >>> www.GruppoPA.it
> >>>
> >>>
> >>> <logoPA.jpg>
> >>>
> >>> Questo messaggio contiene informazioni confidenziali appartenenti a 
> >>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La 
> >>> divulgazione o copia, anche parziale e non autorizzata, è proibita. 
> >>> Gruppo Partners Associates non è responsabile se questo messaggio viene 
> >>> modificato o falsificato. Se non siete i designati riceventi di questo 
> >>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il 
> >>> mittente dell'errore dell'indirizzo di consegna e della cancellazione del 
> >>> messaggio.
> >>>
> >>> This e-mail contains confidential information belonging to Gruppo 
> >>> Partners Associates and it is intended solely for the address. The 
> >>> unauthorised disclosure or copying either whole or partial of this 
> >>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable for 
> >>> this e-mail if modified or falsified. If you are not the intended 
> >>> recipient of this e-mail, please delete it immediately from your system 
> >>> and notify the sender of the wrong delivery and the mail deletion.
> >>>
> >>>
> >>> _______________________________________________
> >>> OpenLDAP mailing list
> >>>
> >>> OpenLDAP@mail.sys-net.it
> >>> https://www.sys-net.it/mailman/listinfo/openldap
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> OpenLDAP mailing list
> >>>
> >>> OpenLDAP@mail.sys-net.it
> >>> https://www.sys-net.it/mailman/listinfo/openldap
> >>
> >> _______________________________________________
> >> OpenLDAP mailing list
> >>
> >> OpenLDAP@mail.sys-net.it
> >> https://www.sys-net.it/mailman/listinfo/openldap
> >>
> >>
> >>
> >>
> >
> >
> >
> > --
> > Luca Scamoni
> >
> > Gruppo Partners Associates
> > Via Timavo, 12 - 20124 Milano
> > Tel. +39 02 67380435 - Fax +39 02 67386214
> > Cell. +39 348 0471710
> > luca.scam...@gruppopa.it
> > www.GruppoPA.it
> >
> > <logoPA.jpg>
> >
> > Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo 
> > Partners Associates ed è destinato unicamente ai destinatari. La 
> > divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo 
> > Partners Associates non è responsabile se questo messaggio viene modificato 
> > o falsificato. Se non siete i designati riceventi di questo messaggio, 
> > cancellatelo immediatamente dal vostro sistema e avvisate il mittente 
> > dell'errore dell'indirizzo di consegna e della cancellazione del messaggio.
> >
> > This e-mail contains confidential information belonging to Gruppo Partners 
> > Associates and it is intended solely for the address. The unauthorised 
> > disclosure or copying either whole or partial of this e-mail, is 
> > prohibited. Gruppo Partners Associates shall not be liable for this e-mail 
> > if modified or falsified. If you are not the intended recipient of this 
> > e-mail, please delete it immediately from your system and notify the sender 
> > of the wrong delivery and the mail deletion.
> >
> > _______________________________________________
> > OpenLDAP mailing list
> > OpenLDAP@mail.sys-net.it
> > https://www.sys-net.it/mailman/listinfo/openldap
> 
> 
> _______________________________________________
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
> 
> _______________________________________________
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap


_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap

Rispondere a