Onglet Mots de passe : Politique de mot de passe pour les utilisateurs

Contrôle de complexité dans les interfaces de saisie du module

Cet onglet permet de modifier la politique de contrôle des mots de passe Active Directory appliquée lors de la saisie et la modification au travers des interfaces fournies sur le module.

Longueur minimale des mots de passe

Cette variable permet de définir la longueur minimale requise pour un mot de passe.

La longueur minimale est paramétrable de 3 à 12 caractères.

Nombre minimum de classes de caractères

Cette variable permet de choisir le nombre minimum de classes de caractères[1] imposé pour le mot de passe d'un compte utilisateur.

Il est possible d'imposer l'utilisation de 1 à 4 classes différentes parmi :

  • caractères minuscules ;
  • caractères majuscules ;
  • caractères numériques ;
  • autres caractères (spéciaux et accentués).

Interdire la présence du nom d’utilisateur dans le mot de passe

La présence du nom d’utilisateur dans le mot de passe affaiblit le mot de passe en permettant qu’une partie des caractères utilisés pour le mot de passe soient prévisibles.

Interdire la présence du nom d’utilisateur dans le mot de passe permet de rejeter un mot de passe lors de son changement si celui-ci contient le nom de l’utilisateur concerné.

Remarque

Attention, un mot de passe sécurisé doit avoir une longueur de 8 caractères et doit contenir au minimum 3 classes différentes de caractères.

Attention

Dans le cadre de l'utilisation d'un serveur Active Directory, la politique de sécurité définie dans ici doit être en accord avec celle du serveur AD.

Politique de sécurité du serveur Active Directory

La gestion des règles de mots de passe du domaine et la gestion fine des règles de mots de passe par groupe via la configuration du module est disponible dès la version 2.7.2 via l’installation du paquet eole-ad-dc-pso.

Ce paquet est pré-installé sur le module à partir de la version 2.8.1.

Règles globales du domaine

Le contrôleur de domaine permet d’établir des règles pour les mots de passe. Ces règles s’appliquent à chaque utilisateur du domaine.

On peut distinguer deux types de règles :

  • les règles globales au domaine, s’appliquant par défaut à tous les utilisateurs ;
  • les règles spécifiques à des utilisateurs ou groupes d’utilisateurs, prenant le pas sur les règles globales.

Ces règles concernent plusieurs aspects du mot de passe :

  • sa complexité, en termes de caractères le composant ;
  • sa longueur ;
  • sa durée de validité.

L’interface de configuration du module permet de configurer les règles globales du domaine et d’associer des règles spécifiques à des groupes.

Dans le détail, les règles disponibles dans l’interface de configuration du module sont les suivantes :

  • Longueur minimal du mot de passe : la longueur minimale empêche l’utilisation de mot de passe plus court que le nombre de caractères spécifiés

  • Longueur de l’historique des mots de passe : un mot de passe valide ne doit pas être un mot de passe figurant dans l’historique des mots de passe de l’utilisateur ; une longueur d’historique longue empêche un utilisateur d’utiliser à nouveau un mot de passe employé récemment

  • Âge minimal du mot de passe : l’âge minimal du mot de passe bloque les changements de mots de passe trop rapprochés dans le temps

  • Âge maximal du mot de passe : l’âge maximal du mot de passe impose un changement de mot de passe à l’utilisateur avant la fin du délai sous peine de ne plus pouvoir se connecter.

Un utilisateur peut donc changer son mot de passe lorsque ce dernier est plus vieux que l’âge minimal mais moins vieux que l’âge maximal.

ÉcranConfiguration des règles globales du domaine
  • 1
    Longueur minimal du mot de passe

    Détermine la longueur minimale acceptée pour les mots de passe dans la politique globale du domaine (en nombre de caractères)

  • 2
    Longueur de l’historique des mots de passe

    Détermine le nombre de mots de passe conservés pour chaque utilisateur dans la politique globale du domaine

  • 3
    Âge minimal du mot de passe

    Détermine le délai minimal entre deux opérations de changement de mot de passe (en jours)

  • 4
    Âge maximal du mot de passe

    Détermine la durée maximale de validité du mot de passe après laquelle le compte est verrouillé (en jours)

ÉcranConfiguration des règles spécifiques aux groupes du domaine
  • 1
    Groupe avec ce niveau de complexité

    Détermine le groupe auquel seront associées les règles définies

  • 2
    Longueur minimale du mot de passe

    Détermine la longueur minimale des mots de passe des individus du groupe ciblé

  • 3
    Longueur de l’historique des mots de passe

    Détermine le nombre de mots de passe conservés dans l’historique de chaque individu du groupe ciblé

  • 4
    Âge minimal du mot de passe

    Détermine le délai minimal entre deux opérations de changement de mot de passe pour les individus du groupe ciblé (en jours)

  • 5
    Âge maximal du mot de passe

    Détermine la durée maximale de validité du mot de passe des individus du groupe ciblé après laquelle le compte est verrouillé (en jours)

Complexité des mots de passe

En termes de complexité de mots de passe, Samba suit les contraintes référencées dans la documentation sur la mise en place du contrôleur de domaine:

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller#Provisioning_a_Samba_Active_Directory

Ces contraintes évaluent la composition du mot de passe caractère par caractère mais également globalement.

Globalement, le mot de passe ne doit pas contenir l’identifiant, si l’identifiant est long de plus de trois caractères, ou des portions de l’identifiant, si l’identifiant peut être découpé en plusieurs parties en suivant certains caractères.

Caractère par caractère, un mot de passe est valide si il contient au moins trois classes de caractères parmi cinq classes prédéfinies (majuscules des lettres des langues européennes, minuscules des lettres des langues européennes, chiffres en base dix, caractères spéciaux non alpha-numériques et caractères unicode identifiés comme caractères alphabétiques sans distinction de casse).

ÉcranConfiguration des règles globales du domaine
  • 1
    Applique les règles de complexité sur le mot de passe

    Détermine si le mot de passe doit valider les règles de construction définies en interne par Samba

ÉcranConfiguration des règles spécifiques aux groupes du domaine
  • 1
    Applique les règles de complexité sur le mot de passe

    Détermine si le mot de passe des individus du groupe ciblé doit valider les règles de complexité internes à Samba