Installation et mise en œuvre du module Seth

Le contrôleur de domaine permet d’établir des règles pour les mots de passe. Ces règles s’appliquent à chaque utilisateur du domaine.

On peut distinguer deux types de règles :

• les règles globales au domaine, s’appliquant par défaut à tous les utilisateurs ;
• les règles spécifiques à des utilisateurs ou groupes d’utilisateurs, prenant le pas sur les règles globales.

Ces règles concernent plusieurs aspects du mot de passe :

• sa complexité, en termes de caractères le composant ;
• sa longueur ;
• sa durée de validité.

L’interface de configuration du module permet de configurer les règles globales du domaine et d’associer des règles spécifiques à des groupes.

Dans le détail, les règles disponibles dans l’interface de configuration du module sont les suivantes :

• Longueur minimal du mot de passe : la longueur minimale empêche l’utilisation de mot de passe plus court que le nombre de caractères spécifiés

• Longueur de l’historique des mots de passe : un mot de passe valide ne doit pas être un mot de passe figurant dans l’historique des mots de passe de l’utilisateur ; une longueur d’historique longue empêche un utilisateur d’utiliser à nouveau un mot de passe employé récemment

• Âge minimal du mot de passe : l’âge minimal du mot de passe bloque les changements de mots de passe trop rapprochés dans le temps

• Âge maximal du mot de passe : l’âge maximal du mot de passe impose un changement de mot de passe à l’utilisateur avant la fin du délai sous peine de ne plus pouvoir se connecter.

Un utilisateur peut donc changer son mot de passe lorsque ce dernier est plus vieux que l’âge minimal mais moins vieux que l’âge maximal.

En termes de complexité de mots de passe, Samba suit les contraintes référencées dans la documentation sur la mise en place du contrôleur de domaine:

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller#Provisioning_a_Samba_Active_Directory

Ces contraintes évaluent la composition du mot de passe caractère par caractère mais également globalement.

Globalement, le mot de passe ne doit pas contenir l’identifiant, si l’identifiant est long de plus de trois caractères, ou des portions de l’identifiant, si l’identifiant peut être découpé en plusieurs parties en suivant certains caractères.

Caractère par caractère, un mot de passe est valide si il contient au moins trois classes de caractères parmi cinq classes prédéfinies (majuscules des lettres des langues européennes, minuscules des lettres des langues européennes, chiffres en base dix, caractères spéciaux non alpha-numériques et caractères unicode identifiés comme caractères alphabétiques sans distinction de casse).