Контроль качества пароля OpenLDAP

Контроль качества пароля OpenLDAP ⇐ Linux

1 сообщение • Страница 1 из 1

Anonymous

Цитата

Сообщение Anonymous » 29 ноя 2023, 13:31

Предыстория проблемы
Оверлей OpenLDAP ppolicy предоставляет элементы управления политикой паролей, которые позволяют настраивать такие параметры, как минимальная длина пароля, срок действия пароля, максимальная блокировка учетной записи при сбое и история паролей.

ppolicy также имеет атрибут pwdCheckModule, который можно использовать для загрузки сторонних модулей, позволяющих обеспечить соблюдение качества пароля, количества прописных и строчных букв, цифр и специальных символов. персонажи.

Согласно справочной странице slapo-ppolicy:

pwdCheckModule — это нестандартное расширение предложения политики паролей LDAP
Описание проблемы
Когда вы ищете сторонние pwdCheckModules ppolicy, выбор весьма ограничен, и они не поддерживаются. pqchecker, например, не поддерживается и не работает при установке с использованием пакета .deb. Ошибка в Ubuntu 22.04 связана с отсутствующим файлом, который я кратко пытался устранить с помощью strace, но также вызывает небольшой шум в журналах. не понятно почему. Я не буду показывать журналы, потому что не думаю, что использование pqchecker или других программ, таких как BOFH и ppolicy-check-password, является жизнеспособным решением, особенно учитывая дату их последнего обновления.
Текущий обходной путь/решение
Мы развернули сервер OpenLDAP для аутентификации в коммерческих приложениях и Linux. Я использую nslcd и libpam-cracklib на стороне клиента Linux для обеспечения контроля качества паролей, и они работают хорошо. Пользователи вынуждены менять свой пароль при первом входе в Linux благодаря атрибуту shadownLastChange в учетной записи пользователя в LDAP, длина пароля и т. д. контролируется ppolicy, а качество пароля – libpam-cracklib.
Проблема с текущим обходным путем/решением
nslcd не позволяет настраивать DN привязки для изменения паролей пользователей. Существует DN привязки для поиска в DIT, дополнительный DN привязки, когда root вводит команду passwd для учетной записи пользователя, но когда пользователь вводит команду passwd, nslcd привязывается как пользователь для установки пароля. Это означает, что учетные записи пользователей должны иметь разрешение на установку своих собственных паролей, что также означает, что ничто не мешает им использовать команду slappasswd для установки своего пароля напрямую, тем самым обходя контроль качества пароля libpam-cracklib. Это не такая уж большая проблема, потому что люди в нашей организации ответственны и заботятся о безопасности, но я думаю, что мы не сможем пройти проверку безопасности.
Вопрос
Каков правильный подход к реализации контроля качества паролей в OpenLDAP 2.5? Я собираюсь проверить, предоставляет ли sssd способ избежать привязки пользователя к LDAP для установки пароля, но надеялся, что мне не придется идти по этому пути.

1701253887

Anonymous

Предыстория проблемы 
Оверлей OpenLDAP [b]ppolicy[/b] предоставляет [b]элементы управления политикой паролей[/b], которые позволяют настраивать такие параметры, как минимальная длина пароля, срок действия пароля, максимальная блокировка учетной записи при сбое и история паролей.
 
ppolicy также имеет атрибут [b]pwdCheckModule[/b], который можно использовать для загрузки сторонних модулей, позволяющих обеспечить соблюдение [b]качества пароля[/b], количества прописных и строчных букв, цифр и специальных символов. персонажи.
 
Согласно справочной странице slapo-ppolicy:
  
pwdCheckModule — это нестандартное расширение предложения политики паролей LDAP
  Описание проблемы 
Когда вы ищете сторонние pwdCheckModules ppolicy, выбор весьма ограничен, и они не поддерживаются. pqchecker, например, не поддерживается и не работает при установке с использованием пакета .deb. Ошибка в Ubuntu 22.04 связана с отсутствующим файлом, который я кратко пытался устранить с помощью strace, но также вызывает небольшой шум в журналах. не понятно почему. Я не буду показывать журналы, потому что не думаю, что использование pqchecker или других программ, таких как BOFH и ppolicy-check-password, является жизнеспособным решением, особенно учитывая дату их последнего обновления.
 Текущий обходной путь/решение 
Мы развернули сервер OpenLDAP для аутентификации в коммерческих приложениях и Linux. Я использую [b]nslcd[/b] и [b]libpam-cracklib[/b] на стороне клиента Linux для обеспечения контроля качества паролей, и они работают хорошо. Пользователи вынуждены менять свой пароль при первом входе в Linux благодаря атрибуту [b]shadownLastChange[/b] в учетной записи пользователя в LDAP, длина пароля и т. д. контролируется ppolicy, а качество пароля – libpam-cracklib.
 Проблема с текущим обходным путем/решением 
nslcd не позволяет настраивать DN привязки для изменения паролей пользователей. Существует DN привязки для поиска в DIT, дополнительный DN привязки, когда root вводит команду passwd для учетной записи пользователя, но когда пользователь вводит команду passwd, nslcd привязывается как пользователь для установки пароля. Это означает, что учетные записи пользователей должны иметь разрешение на установку своих собственных паролей, что также означает, что ничто не мешает им использовать команду slappasswd для установки своего пароля напрямую, тем самым обходя контроль качества пароля libpam-cracklib. Это не такая уж большая проблема, потому что люди в нашей организации ответственны и заботятся о безопасности, но я думаю, что мы не сможем пройти проверку безопасности.
 Вопрос 
Каков правильный подход к реализации контроля качества паролей в OpenLDAP 2.5? Я собираюсь проверить, предоставляет ли sssd способ избежать привязки пользователя к LDAP для установки пароля, но надеялся, что мне не придется идти по этому пути.