Funziona così:
Quando fai una modifica all'attributo userPassword l'overlay calcola un hash del valore passato e verifica che sia diverso dagli hash nella history e dall'hash corrente. Se questo è vero, acconsente alla modifica. Punto. Applichiamo questa cosa al tuo caso: se gli passi il valore in chiaro lui applica un hash md5 alla password, lo confronta, lo trova e ti blocca. se gli passi un valore hashato lui applica di nuovo l'hash md5 (genera un valore nuovo), lo confronta, non lo trova e da l'ok all'operazione. Questo è consistente e corretto. ciao Il 21/06/2012 12:01, Michele Codutti ha scritto: Ciao a tutti. Ho provato ad eseguire il comando ldapmodify con il parametro -e ppolicy come suggerito e dall'output si vede l'intervento di ppolicy: $ ladpmodify -e ppolicy [soliti parametri standard] dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password)modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}2FeO34RYzgb7xbt2pYxcpA== <= md5(qwerty) modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: password modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" ldap_modify: Constraint violation (19) additional info: Password is not being changed from existing value control: 1.3.6.1.4.1.42.2.27.8.5.1 false MAOBAQg= ppolicy: error=8 (New password is in list of old passwords) [QUI MI BUTTA FUORI] $ ladpmodify -e ppolicy [soliti parametri standard] dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== <= md5(password) modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" Se non ho capito male l'overlay ppolicy interviene anche se non uso ldappaswd (bene, me lo aspettavo) ma non fa controlli della password se non è passata in chiaro (nemmeno se ha lo stesso tipo di hash, che non mi aspettavo). Non ho capito la frase di "simo" , non motivata, sulla minor sicurezza risultante dalla possibilità data a un entry (tramite un bind autenticato) di cambiarsi la password direttamente. Michele Codutti Area Servizi Informatici e Telematici (AINF) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel: +39 0432 558928 fax: +39 0432 558911 e-mail: michele.codutti at uniud.it Il giorno 20/giu/2012, alle ore 15:23, Marco Pizzoli ha scritto:Se ho capito quello che dici e fai, la spiegazione e' questa: - Come ti ha gia' detto Luca, quando usi ldapmodify l'overlay ppolicy *NON* viene coinvolto e quindi non interviene in alcun modo per bloccarti eventuali modifiche che non rispettano vincoli di policy - Il confronto con le password precedentemente salvate avviene con quelle che trovi (eventualmente) salvate nell'attributo operazionale pwdHistory. Questo attributo e' creato dal ppolicy, quindi se non hai mai eseguito dei ldappasswd, allora non lo trovi . Venendo alla tua ultima ultima domanda: 2012/6/20 Michele Codutti <michele.codu...@uniud.it> Ma allora perché se io cambio la password (sempre tramite ldapmodify) passandogliela in chiaro allora mi impedisce il riutilizzo di una password precedentemente usata (anche se è stata memorizzata come hash)??? Esempio: $ ldapmodify [con tutti i parametri del caso] dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: password modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" ldap_modify: Constraint violation (19) additional info: Password is not being changed from existing value Questo caso specifico non lo conosco per certo. Posso solo supporlo: - tu salvi un attributo come hash --> tutto ok - tu cerchi di sovrascrivere quell'attributo con il corrispondente valore in chiaro --> ti segnala che sovrascriveresti lo stesso valore. Non ti succederebbe se useresti la password "salata". Sinceramente dubito che sia il ppolicy a intervenire, in questo caso. Se invochi ldapmodify con il parametro "-e ppolicy" cosa ti dice? Se per te non e' un problema, sarei curioso di vedere il log di slapd di quando fai questa operazione. Ciao M. Scusate, mi rendo conto di essere pignolo ma devo spiegare tecnicamente perché il meccanismo non funziona come ci si aspettava. Grazie ancora per l'attenzione. Michele Codutti Area Servizi Informatici e Telematici (AINF) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel: +39 0432 558928 fax: +39 0432 558911 e-mail: michele.codutti at uniud.it Il giorno 20/giu/2012, alle ore 12:57, Luca Scamoni ha scritto:L'overlay agisce solo sull'extop di cambio password no sulle normali operazioni ldap Il 20/06/2012 12:41, Michele Codutti ha scritto:Ciao a tutti, si uso ldapmodify perché il cambio password non sarà fatto con ldappasswd ma con ldapmodyfy tramite un'applicazione su cui non ho il controllo. Spero che questo spieghi meglio la problematica. Quindi ricapitolando se io faccio: $ ldapmodify [con tutti i parametri del caso] dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" dn: cn=prova.ppolicy,dc=esempio,dc=it changetype: modify replace: userPassword userPassword: {MD5}X03MO1qnZdYdgyfeuILPmQ== modifying entry "cn=prova.ppolicy,dc=esempio,dc=it" Mi aspettavo che la seconda modifica fosse impedita dal fatto che in userPasswd è già presente la stessa stringa. NB: mi autentico con l'utente stesso a cui voglio cambiare la password non con il rootDN. Michele Codutti Area Servizi Informatici e Telematici (AINF) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel: +39 0432 558928 fax: +39 0432 558911 e-mail: michele.codutti at uniud.it Il giorno 20/giu/2012, alle ore 09:45, Marco Pizzoli ha scritto:Ciao Michele, nel leggere la tua mail mi viene il dubbio che tu cambi la password semplicemente con un ldapmodify, anziche' con un ldappasswd. Ho capito bene? Marco 2012/6/20 Luca Scamoni <luca.scam...@gruppopa.it> Veramente io mi meraviglio che tu possa pensare di passargli una password cifrata. Quando all'operazione di cambio password tu gli passi una stringa (perchè questo è una password) lui non fa nient'altro che applicare l'hash predefinito e confrontare il risultato con quelle esistenti nella sua history. Quindi se tu gli passi una stringa che rappresenta un hash lui non fa nient'altro che hasharla di nuovo e confrontare il nuovo hash con quelli memorizzati (e sarà sicuramente differente) Il 20/06/2012 09:27, Michele Codutti ha scritto:Si esatto, il problema è che il tentativo non fallisce. Visto che le password precedenti sono memorizzate con la stessa tipologia di hash (ho provato sia MD5 che SSHA) mi meraviglio che il mio tentativo di memorizzare una password che è già presente in userPasswd (nello stessa codifica) o in pwdHistory (qui la codifica sia binaria ma che riesco a vedere che contiene l'hash nel formato originale) abbia successo. Michele Codutti Area Servizi Informatici e Telematici (AINF) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel: +39 0432 558928 fax: +39 0432 558911 e-mail: michele.codutti at uniud.it Il giorno 19/giu/2012, alle ore 17:55, Luca Scamoni ha scritto:Ciao, forse non ho capito... tu cerchi di cambiare password passandogli l'hash di una delle password usate in precedenza? Il 19/06/2012 16:55, Michele Codutti ha scritto:Ciao a tutti, sto implementando delle politiche relative alle password per diverse tipologie di password che ho nell'LDAP. In particolare vorrei che un utente non riutilizzi una password recente. Ho attivato pertanto l'overlay ppolicy ed ho creato una nuova entry per ogni politica che voglio impostare (con objectType: pwdPolicy) a cui ho abilitato PwdInHistory=2. Fin qui tutto bene, e devo dire che avrei potuto risparmiarvi tutto questo cappello di informazioni ma era per contestualizzarvi il mio problema: quando, come utente (non come rootDN), mi cambio la password e digito la stessa che ho in uso oppure anche una delle 2 precedenti l'operazione avviene con successo! Credevo fosse un problema relativo alla mancata attivazione della politica ma poi ho scoperto che se cambio la password passandogliela in chiaro e non in forma "hashata" allora il meccanismo si attiva, come mi aspettavo, e non posso re-impostare una password precedente. Immaginavo potesse esserci un problema del genere per la natura stessa della funzione di hash ma mi immaginavo che in caso di utilizzo della medesima funzione di hash ppolicy impedisse di riutilizzare una password. E' un problema o è così per qualche motivo? Vi ringrazio in anticipo per l'attenzione che mi vorrete dedicare. Michele Codutti Area Servizi Informatici e Telematici (AINF) Universita' degli Studi di Udine via Delle Scienze, 208 - 33100 UDINE tel: +39 0432 558928 fax: +39 0432 558911 e-mail: michele.codutti at uniud.it _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap-- Luca Scamoni Gruppo Partners Associates Via Timavo, 12 - 20124 Milano Tel. +39 02 67380435 - Fax +39 02 67386214 Cell. +39 348 0471710 luca.scam...@gruppopa.it www.GruppoPA.it <logoPA.jpg> Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo Partners Associates ed è destinato unicamente ai destinatari. La divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo Partners Associates non è responsabile se questo messaggio viene modificato o falsificato. Se non siete i designati riceventi di questo messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il mittente dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. This e-mail contains confidential information belonging to Gruppo Partners Associates and it is intended solely for the address. The unauthorised disclosure or copying either whole or partial of this e-mail, is prohibited. Gruppo Partners Associates shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap-- Luca Scamoni Gruppo Partners Associates Via Timavo, 12 - 20124 Milano Tel. +39 02 67380435 - Fax +39 02 67386214 Cell. +39 348 0471710 luca.scam...@gruppopa.it www.GruppoPA.it <logoPA.jpg> Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo Partners Associates ed è destinato unicamente ai destinatari. La divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo Partners Associates non è responsabile se questo messaggio viene modificato o falsificato. Se non siete i designati riceventi di questo messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il mittente dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. This e-mail contains confidential information belonging to Gruppo Partners Associates and it is intended solely for the address. The unauthorised disclosure or copying either whole or partial of this e-mail, is prohibited. Gruppo Partners Associates shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap-- Luca Scamoni Gruppo Partners Associates Via Timavo, 12 - 20124 Milano Tel. +39 02 67380435 - Fax +39 02 67386214 Cell. +39 348 0471710 luca.scam...@gruppopa.it www.GruppoPA.it <logoPA.jpg> Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo Partners Associates ed è destinato unicamente ai destinatari. La divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo Partners Associates non è responsabile se questo messaggio viene modificato o falsificato. Se non siete i designati riceventi di questo messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il mittente dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. This e-mail contains confidential information belonging to Gruppo Partners Associates and it is intended solely for the address. The unauthorised disclosure or copying either whole or partial of this e-mail, is prohibited. Gruppo Partners Associates shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap _______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap --
Luca Scamoni Gruppo
Partners Associates Via Timavo, 12 -
20124 Milano Questo messaggio contiene informazioni confidenziali appartenenti a Gruppo Partners Associates ed è destinato unicamente ai destinatari. La divulgazione o copia, anche parziale e non autorizzata, è proibita. Gruppo Partners Associates non è responsabile se questo messaggio viene modificato o falsificato. Se non siete i designati riceventi di questo messaggio, cancellatelo immediatamente dal vostro sistema e avvisate il mittente dell'errore dell'indirizzo di consegna e della cancellazione del messaggio. This e-mail contains confidential information belonging to Gruppo Partners Associates and it is intended solely for the address. The unauthorised disclosure or copying either whole or partial of this e-mail, is prohibited. Gruppo Partners Associates shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. |
_______________________________________________ OpenLDAP mailing list OpenLDAP@mail.sys-net.it https://www.sys-net.it/mailman/listinfo/openldap