>
> Applichiamo questa cosa al tuo caso:
> se gli passi il valore in chiaro lui applica un hash md5 alla password, lo
> confronta, lo trova e ti blocca.
Pacifico.
> se gli passi un valore hashato lui applica di nuovo l'hash md5 (genera un
> valore nuovo), lo confronta, non lo trova e da l'ok all'operazione.
Cioè lui non prende l'hash come tale bensì come testo in chiaro e ci esegue un
hash nuovamente e se è diverso da uno degli hash in userPassword o pwdHistory
allora lo cambia.
Se cosi fosse, comunque non potrei avere in una entry l'attributo pwdHistory
con due valori identici ed invece:
$ slapcat
dn: cn=prova.ppolicy,dc=esempio,dc=it
...
pwdHistory: 20120622074557Z#1.3.6.1.4.1.1466.115.121.1.40#29#{MD5}4/XCh2ljM7Qb
3/ctxI1AVA==
pwdHistory: 20120622083922Z#1.3.6.1.4.1.1466.115.121.1.40#29#{MD5}4/XCh2ljM7Qb
3/ctxI1AVA==
Ribadisco che non ho mai usato il rootDN per cambiare la password ma sempre
l'entry stessa.
Devo assolutamente imporre un cambio di password in chiaro e sperare che si
possa configurare l'applicativo in tal senso.
Grazie a tutti.
> Questo è consistente e corretto.
> ciao
> Il 21/06/2012 12:01, Michele Codutti ha scritto:
>> Ciao a tutti.
>> Ho provato ad eseguire il comando ldapmodify con il parametro -e ppolicy
>> come suggerito e dall'output si vede l'intervento di ppolicy:
>> $ ladpmodify -e ppolicy [soliti parametri standard]
>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>> changetype: modify
>> replace: userPassword
>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)
>>
>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>
>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>> changetype: modify
>> replace: userPassword
>> userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA== <= md5(qwerty)
>>
>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>
>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>> changetype: modify
>> replace: userPassword
>> userPassword: password
>>
>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>> ldap_modify: Constraint violation (19)
>> additional info: Password is not being changed from existing value
>> control: 1.3.6.1.4.1.42.2.27.8.5.1 false MAOBAQg=
>> ppolicy: error=8 (New password is in list of old passwords)
>>
>> [QUI MI BUTTA FUORI]
>>
>> $ ladpmodify -e ppolicy [soliti parametri standard]
>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>> changetype: modify
>> replace: userPassword
>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)
>>
>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>
>> Se non ho capito male l'overlay ppolicy interviene anche se non uso
>> ldappaswd (bene, me lo aspettavo) ma non fa controlli della password se non
>> è passata in chiaro (nemmeno se ha lo stesso tipo di hash, che non mi
>> aspettavo).
>>
>> Non ho capito la frase di "simo" , non motivata, sulla minor sicurezza
>> risultante dalla possibilità data a un entry (tramite un bind autenticato)
>> di cambiarsi la password direttamente.
>>
>> Michele Codutti
>> Area Servizi Informatici e Telematici (AINF)
>> Universita' degli Studi di Udine
>> via Delle Scienze, 208 - 33100 UDINE
>> tel: +39 0432 558928
>> fax: +39 0432 558911
>> e-mail: michele.codutti at uniud.it
>>
>> Il giorno 20/giu/2012, alle ore 15:23, Marco Pizzoli ha scritto:
>>
>>
>>> Se ho capito quello che dici e fai, la spiegazione e' questa:
>>>
>>> - Come ti ha gia' detto Luca, quando usi ldapmodify l'overlay ppolicy *NON*
>>> viene coinvolto e quindi non interviene in alcun modo per bloccarti
>>> eventuali modifiche che non rispettano vincoli di policy
>>> - Il confronto con le password precedentemente salvate avviene con quelle
>>> che trovi (eventualmente) salvate nell'attributo operazionale pwdHistory.
>>> Questo attributo e' creato dal ppolicy, quindi se non hai mai eseguito dei
>>> ldappasswd, allora non lo trovi .
>>>
>>> Venendo alla tua ultima ultima domanda:
>>>
>>> 2012/6/20 Michele Codutti
>>> <michele.codu...@uniud.it>
>>>
>>> Ma allora perché se io cambio la password (sempre tramite ldapmodify)
>>> passandogliela in chiaro allora mi impedisce il riutilizzo di una password
>>> precedentemente usata (anche se è stata memorizzata come hash)???
>>> Esempio:
>>> $ ldapmodify [con tutti i parametri del caso]
>>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>>> changetype: modify
>>> replace: userPassword
>>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
>>>
>>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>>
>>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>>> changetype: modify
>>> replace: userPassword
>>> userPassword: password
>>>
>>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>> ldap_modify: Constraint violation (19)
>>> additional info: Password is not being changed from existing value
>>>
>>> Questo caso specifico non lo conosco per certo. Posso solo supporlo:
>>> - tu salvi un attributo come hash --> tutto ok
>>> - tu cerchi di sovrascrivere quell'attributo con il corrispondente valore
>>> in chiaro --> ti segnala che sovrascriveresti lo stesso valore. Non ti
>>> succederebbe se useresti la password "salata".
>>>
>>> Sinceramente dubito che sia il ppolicy a intervenire, in questo caso.
>>> Se invochi ldapmodify con il parametro "-e ppolicy" cosa ti dice?
>>>
>>> Se per te non e' un problema, sarei curioso di vedere il log di slapd di
>>> quando fai questa operazione.
>>>
>>> Ciao
>>> M.
>>>
>>>
>>> Scusate, mi rendo conto di essere pignolo ma devo spiegare tecnicamente
>>> perché il meccanismo non funziona come ci si aspettava.
>>> Grazie ancora per l'attenzione.
>>>
>>> Michele Codutti
>>> Area Servizi Informatici e Telematici (AINF)
>>> Universita' degli Studi di Udine
>>> via Delle Scienze, 208 - 33100 UDINE
>>> tel: +39 0432 558928
>>> fax: +39 0432 558911
>>> e-mail: michele.codutti at uniud.it
>>>
>>> Il giorno 20/giu/2012, alle ore 12:57, Luca Scamoni ha scritto:
>>>
>>>
>>>> L'overlay agisce solo sull'extop di cambio password no sulle normali
>>>> operazioni ldap
>>>>
>>>> Il 20/06/2012 12:41, Michele Codutti ha scritto:
>>>>
>>>>> Ciao a tutti, si uso ldapmodify perché il cambio password non sarà fatto
>>>>> con ldappasswd ma con ldapmodyfy tramite un'applicazione su cui non ho il
>>>>> controllo. Spero che questo spieghi meglio la problematica.
>>>>> Quindi ricapitolando se io faccio:
>>>>> $ ldapmodify [con tutti i parametri del caso]
>>>>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>>>>> changetype: modify
>>>>> replace: userPassword
>>>>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
>>>>>
>>>>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>>>>
>>>>> dn: cn=prova.ppolicy,dc=esempio,dc=it
>>>>> changetype: modify
>>>>> replace: userPassword
>>>>> userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ==
>>>>>
>>>>> modifying entry "cn=prova.ppolicy,dc=esempio,dc=it"
>>>>>
>>>>>
>>>>> Mi aspettavo che la seconda modifica fosse impedita dal fatto che in
>>>>> userPasswd è già presente la stessa stringa.
>>>>> NB: mi autentico con l'utente stesso a cui voglio cambiare la password
>>>>> non con il rootDN.
>>>>>
>>>>> Michele Codutti
>>>>> Area Servizi Informatici e Telematici (AINF)
>>>>> Universita' degli Studi di Udine
>>>>> via Delle Scienze, 208 - 33100 UDINE
>>>>> tel: +39 0432 558928
>>>>> fax: +39 0432 558911
>>>>> e-mail: michele.codutti at uniud.it
>>>>>
>>>>> Il giorno 20/giu/2012, alle ore 09:45, Marco Pizzoli ha scritto:
>>>>>
>>>>>
>>>>>
>>>>>> Ciao Michele,
>>>>>> nel leggere la tua mail mi viene il dubbio che tu cambi la password
>>>>>> semplicemente con un ldapmodify, anziche' con un ldappasswd. Ho capito
>>>>>> bene?
>>>>>>
>>>>>> Marco
>>>>>>
>>>>>> 2012/6/20 Luca Scamoni
>>>>>>
>>>>>> <luca.scam...@gruppopa.it>
>>>>>>
>>>>>>
>>>>>> Veramente io mi meraviglio che tu possa pensare di passargli una
>>>>>> password cifrata.
>>>>>> Quando all'operazione di cambio password tu gli passi una stringa
>>>>>> (perchè questo è una password) lui non fa nient'altro che applicare
>>>>>> l'hash predefinito e confrontare il risultato con quelle esistenti nella
>>>>>> sua history.
>>>>>> Quindi se tu gli passi una stringa che rappresenta un hash lui non fa
>>>>>> nient'altro che hasharla di nuovo e confrontare il nuovo hash con quelli
>>>>>> memorizzati (e sarà sicuramente differente)
>>>>>>
>>>>>> Il 20/06/2012 09:27, Michele Codutti ha scritto:
>>>>>>
>>>>>>
>>>>>>> Si esatto, il problema è che il tentativo non fallisce.
>>>>>>> Visto che le password precedenti sono memorizzate con la stessa
>>>>>>> tipologia di hash (ho provato sia MD5 che SSHA) mi meraviglio che il
>>>>>>> mio tentativo di memorizzare una password che è già presente in
>>>>>>> userPasswd (nello stessa codifica) o in pwdHistory (qui la codifica sia
>>>>>>> binaria ma che riesco a vedere che contiene l'hash nel formato
>>>>>>> originale) abbia successo.
>>>>>>>
>>>>>>> Michele Codutti
>>>>>>> Area Servizi Informatici e Telematici (AINF)
>>>>>>> Universita' degli Studi di Udine
>>>>>>> via Delle Scienze, 208 - 33100 UDINE
>>>>>>> tel:
>>>>>>> +39 0432 558928
>>>>>>>
>>>>>>> fax:
>>>>>>> +39 0432 558911
>>>>>>>
>>>>>>> e-mail: michele.codutti at
>>>>>>> uniud.it
>>>>>>>
>>>>>>>
>>>>>>> Il giorno 19/giu/2012, alle ore 17:55, Luca Scamoni ha scritto:
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>> Ciao,
>>>>>>>> forse non ho capito...
>>>>>>>> tu cerchi di cambiare password passandogli l'hash di una delle
>>>>>>>> password usate in precedenza?
>>>>>>>>
>>>>>>>> Il 19/06/2012 16:55, Michele Codutti ha scritto:
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>> Ciao a tutti, sto implementando delle politiche relative alle
>>>>>>>>> password per diverse tipologie di password che ho nell'LDAP.
>>>>>>>>> In particolare vorrei che un utente non riutilizzi una password
>>>>>>>>> recente. Ho attivato pertanto l'overlay ppolicy ed ho creato una
>>>>>>>>> nuova entry per ogni politica che voglio impostare (con objectType:
>>>>>>>>> pwdPolicy) a cui ho abilitato PwdInHistory=2.
>>>>>>>>> Fin qui tutto bene, e devo dire che avrei potuto risparmiarvi tutto
>>>>>>>>> questo cappello di informazioni ma era per contestualizzarvi il mio
>>>>>>>>> problema: quando, come utente (non come rootDN), mi cambio la
>>>>>>>>> password e digito la stessa che ho in uso oppure anche una delle 2
>>>>>>>>> precedenti l'operazione avviene con successo! Credevo fosse un
>>>>>>>>> problema relativo alla mancata attivazione della politica ma poi ho
>>>>>>>>> scoperto che se cambio la password passandogliela in chiaro e non in
>>>>>>>>> forma "hashata" allora il meccanismo si attiva, come mi aspettavo, e
>>>>>>>>> non posso re-impostare una password precedente. Immaginavo potesse
>>>>>>>>> esserci un problema del genere per la natura stessa della funzione di
>>>>>>>>> hash ma mi immaginavo che in caso di utilizzo della medesima funzione
>>>>>>>>> di hash ppolicy impedisse di riutilizzare una password.
>>>>>>>>> E' un problema o è così per qualche motivo?
>>>>>>>>>
>>>>>>>>> Vi ringrazio in anticipo per l'attenzione che mi vorrete dedicare.
>>>>>>>>>
>>>>>>>>> Michele Codutti
>>>>>>>>> Area Servizi Informatici e Telematici (AINF)
>>>>>>>>> Universita' degli Studi di Udine
>>>>>>>>> via Delle Scienze, 208 - 33100 UDINE
>>>>>>>>> tel:
>>>>>>>>> +39 0432 558928
>>>>>>>>>
>>>>>>>>> fax:
>>>>>>>>> +39 0432 558911
>>>>>>>>>
>>>>>>>>> e-mail: michele.codutti at
>>>>>>>>> uniud.it
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> _______________________________________________
>>>>>>>>> OpenLDAP mailing list
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> OpenLDAP@mail.sys-net.it
>>>>>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>>>>>>>> --
>>>>>>>> Luca Scamoni
>>>>>>>>
>>>>>>>> Gruppo Partners Associates
>>>>>>>> Via Timavo, 12 - 20124 Milano
>>>>>>>> Tel.
>>>>>>>> +39 02 67380435 - Fax +39 02 67386214
>>>>>>>>
>>>>>>>> Cell.
>>>>>>>> +39 348 0471710
>>>>>>>>
>>>>>>>>
>>>>>>>> luca.scam...@gruppopa.it
>>>>>>>> www.GruppoPA.it
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> <logoPA.jpg>
>>>>>>>>
>>>>>>>> Questo messaggio contiene informazioni confidenziali appartenenti a
>>>>>>>> Gruppo Partners Associates ed è destinato unicamente ai destinatari.
>>>>>>>> La divulgazione o copia, anche parziale e non autorizzata, è proibita.
>>>>>>>> Gruppo Partners Associates non è responsabile se questo messaggio
>>>>>>>> viene modificato o falsificato. Se non siete i designati riceventi di
>>>>>>>> questo messaggio, cancellatelo immediatamente dal vostro sistema e
>>>>>>>> avvisate il mittente dell'errore dell'indirizzo di consegna e della
>>>>>>>> cancellazione del messaggio.
>>>>>>>>
>>>>>>>> This e-mail contains confidential information belonging to Gruppo
>>>>>>>> Partners Associates and it is intended solely for the address. The
>>>>>>>> unauthorised disclosure or copying either whole or partial of this
>>>>>>>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable
>>>>>>>> for this e-mail if modified or falsified. If you are not the intended
>>>>>>>> recipient of this e-mail, please delete it immediately from your
>>>>>>>> system and notify the sender of the wrong delivery and the mail
>>>>>>>> deletion.
>>>>>>>>
>>>>>>>> _______________________________________________
>>>>>>>> OpenLDAP mailing list
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> OpenLDAP@mail.sys-net.it
>>>>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>>>> --
>>>>>> Luca Scamoni
>>>>>>
>>>>>> Gruppo Partners Associates
>>>>>> Via Timavo, 12 - 20124 Milano
>>>>>> Tel. +39 02 67380435 - Fax +39 02 67386214
>>>>>> Cell. +39 348 0471710
>>>>>>
>>>>>>
>>>>>> luca.scam...@gruppopa.it
>>>>>> www.GruppoPA.it
>>>>>>
>>>>>>
>>>>>>
>>>>>> <logoPA.jpg>
>>>>>>
>>>>>> Questo messaggio contiene informazioni confidenziali appartenenti a
>>>>>> Gruppo Partners Associates ed è destinato unicamente ai destinatari. La
>>>>>> divulgazione o copia, anche parziale e non autorizzata, è proibita.
>>>>>> Gruppo Partners Associates non è responsabile se questo messaggio viene
>>>>>> modificato o falsificato. Se non siete i designati riceventi di questo
>>>>>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il
>>>>>> mittente dell'errore dell'indirizzo di consegna e della cancellazione
>>>>>> del messaggio.
>>>>>>
>>>>>> This e-mail contains confidential information belonging to Gruppo
>>>>>> Partners Associates and it is intended solely for the address. The
>>>>>> unauthorised disclosure or copying either whole or partial of this
>>>>>> e-mail, is prohibited. Gruppo Partners Associates shall not be liable
>>>>>> for this e-mail if modified or falsified. If you are not the intended
>>>>>> recipient of this e-mail, please delete it immediately from your system
>>>>>> and notify the sender of the wrong delivery and the mail deletion.
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> OpenLDAP mailing list
>>>>>>
>>>>>>
>>>>>> OpenLDAP@mail.sys-net.it
>>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> OpenLDAP mailing list
>>>>>>
>>>>>>
>>>>>> OpenLDAP@mail.sys-net.it
>>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>>> _______________________________________________
>>>>> OpenLDAP mailing list
>>>>>
>>>>>
>>>>> OpenLDAP@mail.sys-net.it
>>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> Luca Scamoni
>>>>
>>>> Gruppo Partners Associates
>>>> Via Timavo, 12 - 20124 Milano
>>>> Tel. +39 02 67380435 - Fax +39 02 67386214
>>>> Cell. +39 348 0471710
>>>>
>>>> luca.scam...@gruppopa.it
>>>> www.GruppoPA.it
>>>>
>>>>
>>>> <logoPA.jpg>
>>>>
>>>> Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo
>>>> Partners Associates ed è destinato unicamente ai destinatari. La
>>>> divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo
>>>> Partners Associates non è responsabile se questo messaggio viene
>>>> modificato o falsificato. Se non siete i designati riceventi di questo
>>>> messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il
>>>> mittente dell'errore dell'indirizzo di consegna e della cancellazione del
>>>> messaggio.
>>>>
>>>> This e-mail contains confidential information belonging to Gruppo Partners
>>>> Associates and it is intended solely for the address. The unauthorised
>>>> disclosure or copying either whole or partial of this e-mail, is
>>>> prohibited. Gruppo Partners Associates shall not be liable for this e-mail
>>>> if modified or falsified. If you are not the intended recipient of this
>>>> e-mail, please delete it immediately from your system and notify the
>>>> sender of the wrong delivery and the mail deletion.
>>>>
>>>> _______________________________________________
>>>> OpenLDAP mailing list
>>>>
>>>> OpenLDAP@mail.sys-net.it
>>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>
>>> _______________________________________________
>>> OpenLDAP mailing list
>>>
>>> OpenLDAP@mail.sys-net.it
>>> https://www.sys-net.it/mailman/listinfo/openldap
>>>
>>>
>>> _______________________________________________
>>> OpenLDAP mailing list
>>>
>>> OpenLDAP@mail.sys-net.it
>>> https://www.sys-net.it/mailman/listinfo/openldap
>>
>> _______________________________________________
>> OpenLDAP mailing list
>>
>> OpenLDAP@mail.sys-net.it
>> https://www.sys-net.it/mailman/listinfo/openldap
>>
>>
>>
>>
>
>
>
> --
> Luca Scamoni
>
> Gruppo Partners Associates
> Via Timavo, 12 - 20124 Milano
> Tel. +39 02 67380435 - Fax +39 02 67386214
> Cell. +39 348 0471710
> luca.scam...@gruppopa.it
> www.GruppoPA.it
>
> <logoPA.jpg>
>
> Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo
> Partners Associates ed è destinato unicamente ai destinatari. La divulgazione
> o copia, anche parziale e non autorizzata, è proibita. Gruppo Partners
> Associates non è responsabile se questo messaggio viene modificato o
> falsificato. Se non siete i designati riceventi di questo messaggio,
> cancellatelo immediatamente dal vostro sistema e avvisate il mittente
> dell'errore dell'indirizzo di consegna e della cancellazione del messaggio.
>
> This e-mail contains confidential information belonging to Gruppo Partners
> Associates and it is intended solely for the address. The unauthorised
> disclosure or copying either whole or partial of this e-mail, is prohibited.
> Gruppo Partners Associates shall not be liable for this e-mail if modified or
> falsified. If you are not the intended recipient of this e-mail, please
> delete it immediately from your system and notify the sender of the wrong
> delivery and the mail deletion.
>
> _______________________________________________
> OpenLDAP mailing list
> OpenLDAP@mail.sys-net.it
> https://www.sys-net.it/mailman/listinfo/openldap
_______________________________________________
OpenLDAP mailing list
OpenLDAP@mail.sys-net.it
https://www.sys-net.it/mailman/listinfo/openldap
