pqChecker
OpenLDAP password policy pwdCheckModule - Page 2
Pré-requis de pqChecker
et paramétrage du serveur OpenLDAP

L'overlay ppolicy doit être activé et bien configuré, pour plus de détails consulter la documentation OpenLDAP à ce sujet et le tutoriel qui traite sa mise en place. La réponse à cette commande permet de vérifier le statut de chargement de l'overlay ({x}ppolicy):

sudo ldapsearch -Y external -H ldapi:/// -b cn=config "(objectClass=olcModuleList)" -LLL ↵

olcModuleLoad: {0}back_mdb
olcModuleLoad: {1}ppolicy

Deux paramètres de cet overlay sont particulièrement importants. Si le DN des paramètres de ppolicy est cn=ppolicy,dc=ldaptuto,dc=net, Cette commande permet de les vérifier:

sudo ldapsearch -Y external -H ldapi:/// -b cn=ppolicy,dc=ldaptuto,dc=net pwdCheckModule pwdCheckQuality -LLL ↵

pwdCheckQuality: 2
pwdCheckModule: pqchecker.so
  • pwdCheckModule contient le nom du plug-in de vérification de la qualité des mots de passe, ici c'est pqchecker.so qui est utilisé.
  • pwdCheckQuality contient le niveau de contrôle à utiliser, trois valeurs sont possibles:

pwdCheckQuality Signification
0 (par défaut) Pas de vérification de la qualité des mots de passe, pqChecker est désactivé.
1 Le mot de passe est accepté par défaut. Notamment, il est accepté tel qu'il est, si pour une raison quelconque, pqChecker ne fonctionne pas ou que le mot de passe est déjà crypté. Son contenu est contrôlé seulement si pqChecker fonctionne et qu'il est fourni en texte claire.
2 Le mot de passe est rejeté par défaut. Notamment, il est rejeté si pour une raison quelconque, pqChecker ne fonctionne pas ou que le mot de passe est déjà crypté. Son contenu est contrôlé seulement si pqChecker fonctionne et qu'il est fourni en texte claire.

 
Le format de stockage des paramètres de la qualité des mots de passe

pqChecker utilise les paramètres de fonctionnement pris dans le fichier: pqparams.dat. Une seule ligne contient l'ensemble de ces paramètres. Elle est composée par 6 champs de données:

Ordre (gauche à droite) Champ Longueur Plage Valeurs Signification du contenu
1N|2 caractères1,20| ou 1|1| → Diffusion du mot de passe, 0| → Pas de diffusion
2UU2 caractères3,400 → 99Nombre de caractères majuscules obligatoires
3LL2 caractères5,600 → 99Nombre de caractères minuscules obligatoires
4DD2 caractères7,800 → 99Nombre de chiffres obligatoires (0-9)
5SS2 caractères9,1000 → 99Nombre de caractères spéciaux obligatoires (non alphabétiques)
6Le resteindéfinie11 → fin de ligneTout caractèreListe des caractères interdits. Cette liste peut être vide.

Les versions inférieures à 2.0 ne supportent pas le champ 1. Seuls les 5 derniers champs sont valides pour ces versions. Les versions 2.0 et supérieurs supportent les deux formats.