Ciao a tutti. Ho provato ad eseguire il comando ldapmodify con il parametro -e ppolicy come suggerito e dall'output si vede l'intervento di ppolicy: $ ladpmodify -e ppolicy [soliti parametri standard] dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)
modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA== <= md5(qwerty) modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: password modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" ldap_modify: Constraint violation (19) additional info: Password is not being changed from existing value control: 1.3.6.1.4.1.42.2.27.8.5.1 false MAOBAQg= ppolicy: error=8 (New password is in list of old passwords) [QUI MI BUTTA FUORI] $ ladpmodify -e ppolicy [soliti parametri standard] dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password) modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" Se non ho capito male l'overlay ppolicy interviene anche se non uso ldappaswd (bene, me lo aspettavo) ma non fa controlli della password se non è passata in chiaro (nemmeno se ha lo stesso tipo di hash, che non mi aspettavo). Non ho capito la frase di "simo" , non motivata, sulla minor sicurezza risultante dalla possibilità data a un entry (tramite un bind autenticato) di cambiarsi la password direttamente. Michele Codutti Area Servizi Informatici e Telematici (AINF) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel: +39 0432 558928 fax: +39 0432 558911 e-mail: michele.codutti at uniud.it Il giorno 20/giu/2012, alle ore 15:23, Marco Pizzoli ha scritto: > Se ho capito quello che dici e fai, la spiegazione e' questa: > > - Come ti ha gia' detto Luca, quando usi ldapmodify l'overlay ppolicy *NON* > viene coinvolto e quindi non interviene in alcun modo per bloccarti eventuali > modifiche che non rispettano vincoli di policy > - Il confronto con le password precedentemente salvate avviene con quelle che > trovi (eventualmente) salvate nell'attributo operazionale pwdHistory. Questo > attributo e' creato dal ppolicy, quindi se non hai mai eseguito dei > ldappasswd, allora non lo trovi . > > Venendo alla tua ultima ultima domanda: > > 2012/6/20 Michele Codutti <michele.codu...@uniud.it> > Ma allora perché se io cambio la password (sempre tramite ldapmodify) > passandogliela in chiaro allora mi impedisce il riutilizzo di una password > precedentemente usata (anche se è stata memorizzata come hash)??? > Esempio: > $ ldapmodify [con tutti i parametri del caso] > dn: cn=prova.ppolicy,dc=esempio,dc=it > changetype: modify > replace: userPassword > userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== > > modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" > > dn: cn=prova.ppolicy,dc=esempio,dc=it > changetype: modify > replace: userPassword > userPassword: password > > modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" > ldap_modify: Constraint violation (19) > additional info: Password is not being changed from existing value > > Questo caso specifico non lo conosco per certo. Posso solo supporlo: > - tu salvi un attributo come hash --> tutto ok > - tu cerchi di sovrascrivere quell'attributo con il corrispondente valore in > chiaro --> ti segnala che sovrascriveresti lo stesso valore. Non ti > succederebbe se useresti la password "salata". > > Sinceramente dubito che sia il ppolicy a intervenire, in questo caso. > Se invochi ldapmodify con il parametro "-e ppolicy" cosa ti dice? > > Se per te non e' un problema, sarei curioso di vedere il log di slapd di > quando fai questa operazione. > > Ciao > M. > > > Scusate, mi rendo conto di essere pignolo ma devo spiegare tecnicamente > perché il meccanismo non funziona come ci si aspettava. > Grazie ancora per l'attenzione. > > Michele Codutti > Area Servizi Informatici e Telematici (AINF) > Universita' degli Studi di Udine > via Delle Scienze, 208 - 33100 UDINE > tel: +39 0432 558928 > fax: +39 0432 558911 > e-mail: michele.codutti at uniud.it > > Il giorno 20/giu/2012, alle ore 12:57, Luca Scamoni ha scritto: > > > L'overlay agisce solo sull'extop di cambio password no sulle normali > > operazioni ldap > > > > Il 20/06/2012 12:41, Michele Codutti ha scritto: > >> Ciao a tutti, si uso ldapmodify perché il cambio password non sarà fatto > >> con ldappasswd ma con ldapmodyfy tramite un'applicazione su cui non ho il > >> controllo. Spero che questo spieghi meglio la problematica. > >> Quindi ricapitolando se io faccio: > >> $ ldapmodify [con tutti i parametri del caso] > >> dn: cn=prova.ppolicy,dc=esempio,dc=it > >> changetype: modify > >> replace: userPassword > >> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== > >> > >> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" > >> > >> dn: cn=prova.ppolicy,dc=esempio,dc=it > >> changetype: modify > >> replace: userPassword > >> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== > >> > >> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" > >> > >> > >> Mi aspettavo che la seconda modifica fosse impedita dal fatto che in > >> userPasswd è già presente la stessa stringa. > >> NB: mi autentico con l'utente stesso a cui voglio cambiare la password non > >> con il rootDN. > >> > >> Michele Codutti > >> Area Servizi Informatici e Telematici (AINF) > >> Universita' degli Studi di Udine > >> via Delle Scienze, 208 - 33100 UDINE > >> tel: +39 0432 558928 > >> fax: +39 0432 558911 > >> e-mail: michele.codutti at uniud.it > >> > >> Il giorno 20/giu/2012, alle ore 09:45, Marco Pizzoli ha scritto: > >> > >> > >>> Ciao Michele, > >>> nel leggere la tua mail mi viene il dubbio che tu cambi la password > >>> semplicemente con un ldapmodify, anziche' con un ldappasswd. Ho capito > >>> bene? > >>> > >>> Marco > >>> > >>> 2012/6/20 Luca Scamoni > >>> <luca.scam...@gruppopa.it> > >>> > >>> Veramente io mi meraviglio che tu possa pensare di passargli una password > >>> cifrata. > >>> Quando all'operazione di cambio password tu gli passi una stringa (perchè > >>> questo è una password) lui non fa nient'altro che applicare l'hash > >>> predefinito e confrontare il risultato con quelle esistenti nella sua > >>> history. > >>> Quindi se tu gli passi una stringa che rappresenta un hash lui non fa > >>> nient'altro che hasharla di nuovo e confrontare il nuovo hash con quelli > >>> memorizzati (e sarà sicuramente differente) > >>> > >>> Il 20/06/2012 09:27, Michele Codutti ha scritto: > >>> > >>>> Si esatto, il problema è che il tentativo non fallisce. > >>>> Visto che le password precedenti sono memorizzate con la stessa > >>>> tipologia di hash (ho provato sia MD5 che SSHA) mi meraviglio che il mio > >>>> tentativo di memorizzare una password che è già presente in userPasswd > >>>> (nello stessa codifica) o in pwdHistory (qui la codifica sia binaria ma > >>>> che riesco a vedere che contiene l'hash nel formato originale) abbia > >>>> successo. > >>>> > >>>> Michele Codutti > >>>> Area Servizi Informatici e Telematici (AINF) > >>>> Universita' degli Studi di Udine > >>>> via Delle Scienze, 208 - 33100 UDINE > >>>> tel: > >>>> +39 0432 558928 > >>>> > >>>> fax: > >>>> +39 0432 558911 > >>>> > >>>> e-mail: michele.codutti at > >>>> uniud.it > >>>> > >>>> > >>>> Il giorno 19/giu/2012, alle ore 17:55, Luca Scamoni ha scritto: > >>>> > >>>> > >>>> > >>>>> Ciao, > >>>>> forse non ho capito... > >>>>> tu cerchi di cambiare password passandogli l'hash di una delle password > >>>>> usate in precedenza? > >>>>> > >>>>> Il 19/06/2012 16:55, Michele Codutti ha scritto: > >>>>> > >>>>> > >>>>>> Ciao a tutti, sto implementando delle politiche relative alle password > >>>>>> per diverse tipologie di password che ho nell'LDAP. > >>>>>> In particolare vorrei che un utente non riutilizzi una password > >>>>>> recente. Ho attivato pertanto l'overlay ppolicy ed ho creato una nuova > >>>>>> entry per ogni politica che voglio impostare (con objectType: > >>>>>> pwdPolicy) a cui ho abilitato PwdInHistory=2. > >>>>>> Fin qui tutto bene, e devo dire che avrei potuto risparmiarvi tutto > >>>>>> questo cappello di informazioni ma era per contestualizzarvi il mio > >>>>>> problema: quando, come utente (non come rootDN), mi cambio la password > >>>>>> e digito la stessa che ho in uso oppure anche una delle 2 precedenti > >>>>>> l'operazione avviene con successo! Credevo fosse un problema relativo > >>>>>> alla mancata attivazione della politica ma poi ho scoperto che se > >>>>>> cambio la password passandogliela in chiaro e non in forma "hashata" > >>>>>> allora il meccanismo si attiva, come mi aspettavo, e non posso > >>>>>> re-impostare una password precedente. Immaginavo potesse esserci un > >>>>>> problema del genere per la natura stessa della funzione di hash ma mi > >>>>>> immaginavo che in caso di utilizzo della medesima funzione di hash > >>>>>> ppolicy impedisse di riutilizzare una password. > >>>>>> E' un problema o è così per qualche motivo? > >>>>>> > >>>>>> Vi ringrazio in anticipo per l'attenzione che mi vorrete dedicare. > >>>>>> > >>>>>> Michele Codutti > >>>>>> Area Servizi Informatici e Telematici (AINF) > >>>>>> Universita' degli Studi di Udine > >>>>>> via Delle Scienze, 208 - 33100 UDINE > >>>>>> tel: > >>>>>> +39 0432 558928 > >>>>>> > >>>>>> fax: > >>>>>> +39 0432 558911 > >>>>>> > >>>>>> e-mail: michele.codutti at > >>>>>> uniud.it > >>>>>> > >>>>>> > >>>>>> > >>>>>> _______________________________________________ > >>>>>> OpenLDAP mailing list > >>>>>> > >>>>>> > >>>>>> > >>>>>> OpenLDAP@mail.sys-net.it > >>>>>> https://www.sys-net.it/mailman/listinfo/openldap > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>>> > >>>>> -- > >>>>> Luca Scamoni > >>>>> > >>>>> Gruppo Partners Associates > >>>>> Via Timavo, 12 - 20124 Milano > >>>>> Tel. > >>>>> +39 02 67380435 - Fax +39 02 67386214 > >>>>> > >>>>> Cell. > >>>>> +39 348 0471710 > >>>>> > >>>>> luca.scam...@gruppopa.it > >>>>> www.GruppoPA.it > >>>>> > >>>>> > >>>>> > >>>>> <logoPA.jpg> > >>>>> > >>>>> Questo messaggio contiene informazioni confidenziali appartenenti a > >>>>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La > >>>>> divulgazione o copia, anche parziale e non autorizzata, è proibita. > >>>>> Gruppo Partners Associates non è responsabile se questo messaggio viene > >>>>> modificato o falsificato. Se non siete i designati riceventi di questo > >>>>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il > >>>>> mittente dell'errore dell'indirizzo di consegna e della cancellazione > >>>>> del messaggio. > >>>>> > >>>>> This e-mail contains confidential information belonging to Gruppo > >>>>> Partners Associates and it is intended solely for the address. The > >>>>> unauthorised disclosure or copying either whole or partial of this > >>>>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable > >>>>> for this e-mail if modified or falsified. If you are not the intended > >>>>> recipient of this e-mail, please delete it immediately from your system > >>>>> and notify the sender of the wrong delivery and the mail deletion. > >>>>> > >>>>> _______________________________________________ > >>>>> OpenLDAP mailing list > >>>>> > >>>>> > >>>>> OpenLDAP@mail.sys-net.it > >>>>> https://www.sys-net.it/mailman/listinfo/openldap > >>> > >>> -- > >>> Luca Scamoni > >>> > >>> Gruppo Partners Associates > >>> Via Timavo, 12 - 20124 Milano > >>> Tel. +39 02 67380435 - Fax +39 02 67386214 > >>> Cell. +39 348 0471710 > >>> > >>> luca.scam...@gruppopa.it > >>> www.GruppoPA.it > >>> > >>> > >>> <logoPA.jpg> > >>> > >>> Questo messaggio contiene informazioni confidenziali appartenenti a > >>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La > >>> divulgazione o copia, anche parziale e non autorizzata, è proibita. > >>> Gruppo Partners Associates non è responsabile se questo messaggio viene > >>> modificato o falsificato. Se non siete i designati riceventi di questo > >>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il > >>> mittente dell'errore dell'indirizzo di consegna e della cancellazione del > >>> messaggio. > >>> > >>> This e-mail contains confidential information belonging to Gruppo > >>> Partners Associates and it is intended solely for the address. The > >>> unauthorised disclosure or copying either whole or partial of this > >>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable for > >>> this e-mail if modified or falsified. If you are not the intended > >>> recipient of this e-mail, please delete it immediately from your system > >>> and notify the sender of the wrong delivery and the mail deletion. > >>> > >>> > >>> _______________________________________________ > >>> OpenLDAP mailing list > >>> > >>> OpenLDAP@mail.sys-net.it > >>> https://www.sys-net.it/mailman/listinfo/openldap > >>> > >>> > >>> > >>> _______________________________________________ > >>> OpenLDAP mailing list > >>> > >>> OpenLDAP@mail.sys-net.it > >>> https://www.sys-net.it/mailman/listinfo/openldap > >> > >> _______________________________________________ > >> OpenLDAP mailing list > >> > >> OpenLDAP@mail.sys-net.it > >> https://www.sys-net.it/mailman/listinfo/openldap > >> > >> > >> > >> > > > > > > > > -- > > Luca Scamoni > > > > Gruppo Partners Associates > > Via Timavo, 12 - 20124 Milano > > Tel. +39 02 67380435 - Fax +39 02 67386214 > > Cell. +39 348 0471710 > > luca.scam...@gruppopa.it > > www.GruppoPA.it > > > > <logoPA.jpg> > > > > Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo > > Partners Associates ed è destinato unicamente ai destinatari. La > > divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo > > Partners Associates non è responsabile se questo messaggio viene modificato > > o falsificato. Se non siete i designati riceventi di questo messaggio, > > cancellatelo immediatamente dal vostro sistema e avvisate il mittente > > dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. > > > > This e-mail contains confidential information belonging to Gruppo Partners > > Associates and it is intended solely for the address. The unauthorised > > disclosure or copying either whole or partial of this e-mail, is > > prohibited. Gruppo Partners Associates shall not be liable for this e-mail > > if modified or falsified. If you are not the intended recipient of this > > e-mail, please delete it immediately from your system and notify the sender > > of the wrong delivery and the mail deletion. > > > > _______________________________________________ > > OpenLDAP mailing list > > OpenLDAP@mail.sys-net.it > > https://www.sys-net.it/mailman/listinfo/openldap > > > _______________________________________________ > OpenLDAP mailing list > OpenLDAP@mail.sys-net.it > https://www.sys-net.it/mailman/listinfo/openldap > > _______________________________________________ > OpenLDAP mailing list > OpenLDAP@mail.sys-net.it > https://www.sys-net.it/mailman/listinfo/openldap _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap