Ciao a tutti.
Ho provato ad eseguire il comando ldapmodify con il parametro -e ppolicy come
suggerito e dall'output si vede l'intervento di ppolicy:
$ ladpmodify -e ppolicy [soliti parametri standard]
dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)
modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA== <= md5(qwerty)
modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: password
modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
ldap_modify: Constraint violation (19)
additional info: Password is not being changed from existing value
control: 1.3.6.1.4.1.42.2.27.8.5.1 false MAOBAQg=
ppolicy: error=8 (New password is in list of old passwords)
[QUI MI BUTTA FUORI]
$ ladpmodify -e ppolicy [soliti parametri standard]
dn: cn=prova.ppolicy,dc=esempio,dc=it
changetype: modify
replace: userPassword
userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)
modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
Se non ho capito male l'overlay ppolicy interviene anche se non uso ldappaswd
(bene, me lo aspettavo) ma non fa controlli della password se non è passata in
chiaro (nemmeno se ha lo stesso tipo di hash, che non mi aspettavo).
Non ho capito la frase di "simo" , non motivata, sulla minor sicurezza
risultante dalla possibilità data a un entry (tramite un bind autenticato) di
cambiarsi la password direttamente.
Michele Codutti
Area Servizi Informatici e Telematici (AINF)
Universita' degli Studi di Udine
via Delle Scienze, 208 - 33100 UDINE
tel: +39 0432 558928
fax: +39 0432 558911
e-mail: michele.codutti at uniud.it
Il giorno 20/giu/2012, alle ore 15:23, Marco Pizzoli ha scritto:
> Se ho capito quello che dici e fai, la spiegazione e' questa:
>
> - Come ti ha gia' detto Luca, quando usi ldapmodify l'overlay ppolicy *NON*
> viene coinvolto e quindi non interviene in alcun modo per bloccarti eventuali
> modifiche che non rispettano vincoli di policy
> - Il confronto con le password precedentemente salvate avviene con quelle che
> trovi (eventualmente) salvate nell'attributo operazionale pwdHistory. Questo
> attributo e' creato dal ppolicy, quindi se non hai mai eseguito dei
> ldappasswd, allora non lo trovi .
>
> Venendo alla tua ultima ultima domanda:
>
> 2012/6/20 Michele Codutti <michele.codu...@uniud.it>
> Ma allora perché se io cambio la password (sempre tramite ldapmodify)
> passandogliela in chiaro allora mi impedisce il riutilizzo di una password
> precedentemente usata (anche se è stata memorizzata come hash)???
> Esempio:
> $ ldapmodify [con tutti i parametri del caso]
> dn: cn=prova.ppolicy,dc=esempio,dc=it
> changetype: modify
> replace: userPassword
> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
>
> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>
> dn: cn=prova.ppolicy,dc=esempio,dc=it
> changetype: modify
> replace: userPassword
> userPassword: password
>
> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> ldap_modify: Constraint violation (19)
> additional info: Password is not being changed from existing value
>
> Questo caso specifico non lo conosco per certo. Posso solo supporlo:
> - tu salvi un attributo come hash --> tutto ok
> - tu cerchi di sovrascrivere quell'attributo con il corrispondente valore in
> chiaro --> ti segnala che sovrascriveresti lo stesso valore. Non ti
> succederebbe se useresti la password "salata".
>
> Sinceramente dubito che sia il ppolicy a intervenire, in questo caso.
> Se invochi ldapmodify con il parametro "-e ppolicy" cosa ti dice?
>
> Se per te non e' un problema, sarei curioso di vedere il log di slapd di
> quando fai questa operazione.
>
> Ciao
> M.
>
>
> Scusate, mi rendo conto di essere pignolo ma devo spiegare tecnicamente
> perché il meccanismo non funziona come ci si aspettava.
> Grazie ancora per l'attenzione.
>
> Michele Codutti
> Area Servizi Informatici e Telematici (AINF)
> Universita' degli Studi di Udine
> via Delle Scienze, 208 - 33100 UDINE
> tel: +39 0432 558928
> fax: +39 0432 558911
> e-mail: michele.codutti at uniud.it
>
> Il giorno 20/giu/2012, alle ore 12:57, Luca Scamoni ha scritto:
>
> > L'overlay agisce solo sull'extop di cambio password no sulle normali
> > operazioni ldap
> >
> > Il 20/06/2012 12:41, Michele Codutti ha scritto:
> >> Ciao a tutti, si uso ldapmodify perché il cambio password non sarà fatto
> >> con ldappasswd ma con ldapmodyfy tramite un'applicazione su cui non ho il
> >> controllo. Spero che questo spieghi meglio la problematica.
> >> Quindi ricapitolando se io faccio:
> >> $ ldapmodify [con tutti i parametri del caso]
> >> dn: cn=prova.ppolicy,dc=esempio,dc=it
> >> changetype: modify
> >> replace: userPassword
> >> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
> >>
> >> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> >>
> >> dn: cn=prova.ppolicy,dc=esempio,dc=it
> >> changetype: modify
> >> replace: userPassword
> >> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
> >>
> >> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
> >>
> >>
> >> Mi aspettavo che la seconda modifica fosse impedita dal fatto che in
> >> userPasswd è già presente la stessa stringa.
> >> NB: mi autentico con l'utente stesso a cui voglio cambiare la password non
> >> con il rootDN.
> >>
> >> Michele Codutti
> >> Area Servizi Informatici e Telematici (AINF)
> >> Universita' degli Studi di Udine
> >> via Delle Scienze, 208 - 33100 UDINE
> >> tel: +39 0432 558928
> >> fax: +39 0432 558911
> >> e-mail: michele.codutti at uniud.it
> >>
> >> Il giorno 20/giu/2012, alle ore 09:45, Marco Pizzoli ha scritto:
> >>
> >>
> >>> Ciao Michele,
> >>> nel leggere la tua mail mi viene il dubbio che tu cambi la password
> >>> semplicemente con un ldapmodify, anziche' con un ldappasswd. Ho capito
> >>> bene?
> >>>
> >>> Marco
> >>>
> >>> 2012/6/20 Luca Scamoni
> >>> <luca.scam...@gruppopa.it>
> >>>
> >>> Veramente io mi meraviglio che tu possa pensare di passargli una password
> >>> cifrata.
> >>> Quando all'operazione di cambio password tu gli passi una stringa (perchè
> >>> questo è una password) lui non fa nient'altro che applicare l'hash
> >>> predefinito e confrontare il risultato con quelle esistenti nella sua
> >>> history.
> >>> Quindi se tu gli passi una stringa che rappresenta un hash lui non fa
> >>> nient'altro che hasharla di nuovo e confrontare il nuovo hash con quelli
> >>> memorizzati (e sarà sicuramente differente)
> >>>
> >>> Il 20/06/2012 09:27, Michele Codutti ha scritto:
> >>>
> >>>> Si esatto, il problema è che il tentativo non fallisce.
> >>>> Visto che le password precedenti sono memorizzate con la stessa
> >>>> tipologia di hash (ho provato sia MD5 che SSHA) mi meraviglio che il mio
> >>>> tentativo di memorizzare una password che è già presente in userPasswd
> >>>> (nello stessa codifica) o in pwdHistory (qui la codifica sia binaria ma
> >>>> che riesco a vedere che contiene l'hash nel formato originale) abbia
> >>>> successo.
> >>>>
> >>>> Michele Codutti
> >>>> Area Servizi Informatici e Telematici (AINF)
> >>>> Universita' degli Studi di Udine
> >>>> via Delle Scienze, 208 - 33100 UDINE
> >>>> tel:
> >>>> +39 0432 558928
> >>>>
> >>>> fax:
> >>>> +39 0432 558911
> >>>>
> >>>> e-mail: michele.codutti at
> >>>> uniud.it
> >>>>
> >>>>
> >>>> Il giorno 19/giu/2012, alle ore 17:55, Luca Scamoni ha scritto:
> >>>>
> >>>>
> >>>>
> >>>>> Ciao,
> >>>>> forse non ho capito...
> >>>>> tu cerchi di cambiare password passandogli l'hash di una delle password
> >>>>> usate in precedenza?
> >>>>>
> >>>>> Il 19/06/2012 16:55, Michele Codutti ha scritto:
> >>>>>
> >>>>>
> >>>>>> Ciao a tutti, sto implementando delle politiche relative alle password
> >>>>>> per diverse tipologie di password che ho nell'LDAP.
> >>>>>> In particolare vorrei che un utente non riutilizzi una password
> >>>>>> recente. Ho attivato pertanto l'overlay ppolicy ed ho creato una nuova
> >>>>>> entry per ogni politica che voglio impostare (con objectType:
> >>>>>> pwdPolicy) a cui ho abilitato PwdInHistory=2.
> >>>>>> Fin qui tutto bene, e devo dire che avrei potuto risparmiarvi tutto
> >>>>>> questo cappello di informazioni ma era per contestualizzarvi il mio
> >>>>>> problema: quando, come utente (non come rootDN), mi cambio la password
> >>>>>> e digito la stessa che ho in uso oppure anche una delle 2 precedenti
> >>>>>> l'operazione avviene con successo! Credevo fosse un problema relativo
> >>>>>> alla mancata attivazione della politica ma poi ho scoperto che se
> >>>>>> cambio la password passandogliela in chiaro e non in forma "hashata"
> >>>>>> allora il meccanismo si attiva, come mi aspettavo, e non posso
> >>>>>> re-impostare una password precedente. Immaginavo potesse esserci un
> >>>>>> problema del genere per la natura stessa della funzione di hash ma mi
> >>>>>> immaginavo che in caso di utilizzo della medesima funzione di hash
> >>>>>> ppolicy impedisse di riutilizzare una password.
> >>>>>> E' un problema o è così per qualche motivo?
> >>>>>>
> >>>>>> Vi ringrazio in anticipo per l'attenzione che mi vorrete dedicare.
> >>>>>>
> >>>>>> Michele Codutti
> >>>>>> Area Servizi Informatici e Telematici (AINF)
> >>>>>> Universita' degli Studi di Udine
> >>>>>> via Delle Scienze, 208 - 33100 UDINE
> >>>>>> tel:
> >>>>>> +39 0432 558928
> >>>>>>
> >>>>>> fax:
> >>>>>> +39 0432 558911
> >>>>>>
> >>>>>> e-mail: michele.codutti at
> >>>>>> uniud.it
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> OpenLDAP mailing list
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> OpenLDAP@mail.sys-net.it
> >>>>>> https://www.sys-net.it/mailman/listinfo/openldap
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>> --
> >>>>> Luca Scamoni
> >>>>>
> >>>>> Gruppo Partners Associates
> >>>>> Via Timavo, 12 - 20124 Milano
> >>>>> Tel.
> >>>>> +39 02 67380435 - Fax +39 02 67386214
> >>>>>
> >>>>> Cell.
> >>>>> +39 348 0471710
> >>>>>
> >>>>> luca.scam...@gruppopa.it
> >>>>> www.GruppoPA.it
> >>>>>
> >>>>>
> >>>>>
> >>>>> <logoPA.jpg>
> >>>>>
> >>>>> Questo messaggio contiene informazioni confidenziali appartenenti a
> >>>>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La
> >>>>> divulgazione o copia, anche parziale e non autorizzata, è proibita.
> >>>>> Gruppo Partners Associates non è responsabile se questo messaggio viene
> >>>>> modificato o falsificato. Se non siete i designati riceventi di questo
> >>>>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il
> >>>>> mittente dell'errore dell'indirizzo di consegna e della cancellazione
> >>>>> del messaggio.
> >>>>>
> >>>>> This e-mail contains confidential information belonging to Gruppo
> >>>>> Partners Associates and it is intended solely for the address. The
> >>>>> unauthorised disclosure or copying either whole or partial of this
> >>>>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable
> >>>>> for this e-mail if modified or falsified. If you are not the intended
> >>>>> recipient of this e-mail, please delete it immediately from your system
> >>>>> and notify the sender of the wrong delivery and the mail deletion.
> >>>>>
> >>>>> _______________________________________________
> >>>>> OpenLDAP mailing list
> >>>>>
> >>>>>
> >>>>> OpenLDAP@mail.sys-net.it
> >>>>> https://www.sys-net.it/mailman/listinfo/openldap
> >>>
> >>> --
> >>> Luca Scamoni
> >>>
> >>> Gruppo Partners Associates
> >>> Via Timavo, 12 - 20124 Milano
> >>> Tel. +39 02 67380435 - Fax +39 02 67386214
> >>> Cell. +39 348 0471710
> >>>
> >>> luca.scam...@gruppopa.it
> >>> www.GruppoPA.it
> >>>
> >>>
> >>> <logoPA.jpg>
> >>>
> >>> Questo messaggio contiene informazioni confidenziali appartenenti a
> >>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La
> >>> divulgazione o copia, anche parziale e non autorizzata, è proibita.
> >>> Gruppo Partners Associates non è responsabile se questo messaggio viene
> >>> modificato o falsificato. Se non siete i designati riceventi di questo
> >>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il
> >>> mittente dell'errore dell'indirizzo di consegna e della cancellazione del
> >>> messaggio.
> >>>
> >>> This e-mail contains confidential information belonging to Gruppo
> >>> Partners Associates and it is intended solely for the address. The
> >>> unauthorised disclosure or copying either whole or partial of this
> >>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable for
> >>> this e-mail if modified or falsified. If you are not the intended
> >>> recipient of this e-mail, please delete it immediately from your system
> >>> and notify the sender of the wrong delivery and the mail deletion.
> >>>
> >>>
> >>> _______________________________________________
> >>> OpenLDAP mailing list
> >>>
> >>> OpenLDAP@mail.sys-net.it
> >>> https://www.sys-net.it/mailman/listinfo/openldap
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> OpenLDAP mailing list
> >>>
> >>> OpenLDAP@mail.sys-net.it
> >>> https://www.sys-net.it/mailman/listinfo/openldap
> >>
> >> _______________________________________________
> >> OpenLDAP mailing list
> >>
> >> OpenLDAP@mail.sys-net.it
> >> https://www.sys-net.it/mailman/listinfo/openldap
> >>
> >>
> >>
> >>
> >
> >
> >
> > --
> > Luca Scamoni
> >
> > Gruppo Partners Associates
> > Via Timavo, 12 - 20124 Milano
> > Tel. +39 02 67380435 - Fax +39 02 67386214
> > Cell. +39 348 0471710
> > luca.scam...@gruppopa.it
> > www.GruppoPA.it
> >
> > <logoPA.jpg>
> >
> > Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo
> > Partners Associates ed è destinato unicamente ai destinatari. La
> > divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo
> > Partners Associates non è responsabile se questo messaggio viene modificato
> > o falsificato. Se non siete i designati riceventi di questo messaggio,
> > cancellatelo immediatamente dal vostro sistema e avvisate il mittente
> > dell'errore dell'indirizzo di consegna e della cancellazione del messaggio.
> >
> > This e-mail contains confidential information belonging to Gruppo Partners
> > Associates and it is intended solely for the address. The unauthorised
> > disclosure or copying either whole or partial of this e-mail, is
> > prohibited. Gruppo Partners Associates shall not be liable for this e-mail
> > if modified or falsified. If you are not the intended recipient of this
> > e-mail, please delete it immediately from your system and notify the sender
> > of the wrong delivery and the mail deletion.
> >
> > _______________________________________________
> > OpenLDAP mailing list
> > OpenLDAP@mail.sys-net.it
> > https://www.sys-net.it/mailman/listinfo/openldap
>
>
> _______________________________________________
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
>
> _______________________________________________
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
