Changement de son mot de passe Active Directory depuis Ubuntu

mac-gyver31 · Le 21/12/2009, à 14:12

Bonjour,

Avant de lacher définitivement mon poste Windows pour celui que j'ai préparé avec Ubuntu, il me reste un problème à régler.

Nos stations sont authentifié par un DC dans une infra AD. La politique de gestion de mots de passe impose un changement du mot de passe tous les mois, avec des contraintes que je détaillerai pas car sans importance pour le sujet qui me préoccupe.

Problème : comment modifier son mot de passe AD depuis Ubuntu (équivalent de "Alt + Ctrl + Del / Modifier le mot de passe" sous windows) ?

Tout ce qu'on trouve sur ce forum, et la doc, explique très bien comment intégrer la station dans un domaine AD, mais je ne trouve nulle part cette fonctionnalité.

Quelqu'un a-t-il une idée ?

Zenigata · Le 21/12/2009, à 19:57

En générale, les comptes AD sont couplés aux comptes de messagerie gérés par un serveur MS Exchange. Si ce dernier est accessible via webmail, tu devrais pouvoir y changer ton mot de passe sur le webmail...

mac-gyver31 · Le 22/12/2009, à 15:52

Négatif.

Rien dans Outlook, ni dans OWA, pour changer son MDP. C'est l'inverse. Faut le changer sous windows, et c'est exchange qui en hérite, et c'est ainsi pour toutes les applis qui font du SSO sous AD/Windows.

inbox · Le 22/12/2009, à 16:33

Salut,

Peut-être un piste ici ?

A+

mac-gyver31 · Le 30/12/2009, à 11:09

inbox a écrit :

Salut,
Peut-être un piste ici ?
A+

Tout ce que je comprends de ce lien, c'est qu'il faut rajouter la ligne :
password sufficient pam_winbind.so
dans le fichier :
/etc/pam.d/common-password

J'ai essayé... Il se passe rien. Je m'attendais plutôt à devoir installer un soft avec une GUI qui demande mon user, mon AD de rattachement, le mdp actuel, le nouveau, et fasse le changement par dialogue avec le DC de l'AD...

Dommage que likewise ne fasse pas...

Targol · Le 04/02/2010, à 00:05

Un peu en retard, je te donne ma solution au même problème : j'utilise l'interface web de citrix qui propose cette fonctionnalité. Si ta société utilise aussi Citrix, tu es peut-être sauvé.

cbo · Le 05/02/2010, à 17:02

Une autre solution consisterait a utiliser un client LDAP:
un petit script LDAP va te permettre de changer ton mot de passe directement dans AD.
Il y a quelques "contraintes" avec cette approche:
- acceder en LDAPS (ce n'est cependant pas une difficulte)
- pas de possibilite de verifier l'adherence du nouveau mot de passe vs. la policy AD.

Nous faisons cela (pas pour des clients Ubuntu ) en PHP et ca marche tres bien.

Bien penser a exposer ce script en HTTPS histoire que le nouveau mot de passe ne circule pas en clair (base64) entre le client et le serveur qui fait tourner ce script

iUser59 · Le 17/06/2010, à 17:12

cbo pourrais-tu donner des précisions concernant ton script PHP pour réaliser cela?

piolet · Le 17/06/2010, à 17:20

bonsoir
il me semble que c'est la commande kpasswd

cbo · Le 17/06/2010, à 17:39

iUser59 a écrit :

cbo pourrais-tu donner des précisions concernant ton script PHP pour réaliser cela?

AD étant un annuaire LDAP (même si un peu, voire beaucoup, contraint par le fait que c'est l'annuaire d'une "application" principale qui est le serveur de domaine Windows) et donc le mot de passe peut se changer simplement au travers qu'un script qui fait un LDAP_MODIFY de l'attribut "userpassword" pour l'entrée de l'utilisateur.
Un petit point de détail, le changement de mot de passe de AD depuis un client LDPA ne peut se faire que en LDAPS... et c'est tant mieux

Donc une interface Web avec derrière un petit script en PHP qui demande à l'utilisateur de s'authentifier afin d'ouvrir une session LDAPS avec AD permet de changer le mot de passe.

mac-gyver31 · Le 24/08/2010, à 06:44

cbo : Sais tu ou je peux consulter une doc sur l'appel des fonctions LDAP depuis un prog (php, ou autre d'ailleurs) ?

Dis comme tu le dis, ca parait évident.... De là à passer à la pratique...

cbo · Le 24/08/2010, à 07:45

la doc "LDAP en PHP" http://php.net/manual/en/book.ldap.php

un exemple ici: http://www.devshed.com/c/a/PHP/Using-PH … AP-part-1/
et là http://articles.techrepublic.com.com/51 … 32010.html

Merci Google

iUser59 · Le 24/08/2010, à 07:47

mac-gyver31 a écrit :

cbo : Sais tu ou je peux consulter une doc sur l'appel des fonctions LDAP depuis un prog (php, ou autre d'ailleurs) ?
Dis comme tu le dis, ca parait évident.... De là à passer à la pratique...

J'en ai vu pas mal sur le net concernant le PHP. En ce qui me concerne, j'ai dû passer par un utilisateur qui a les privilège d'écriture sur l'annuaire afin de modifier un mot de passe utilisateur.
Mais autrement, c'est pas compliqué.

En ce qui me concerne, j'utilise une librairie en Ruby pour le faire (ActiveLdap)

cbo · Le 24/08/2010, à 09:42

iUser59 a écrit :

...En ce qui me concerne, j'ai dû passer par un utilisateur qui a les privilège d'écriture sur l'annuaire afin de modifier un mot de passe utilisateur.
Mais autrement, c'est pas compliqué.

Je n'avais pas précisé ce point qui me semblait évident

Le changement de mot de passe dans LDAP signifie changement de la valeur d'un attribut (userpassword) et donc nécessite des droits d'écriture... lesquels sont régis par des ACL.

Un utilisateur est supposé être autorisé à changer cet attribut (userpassword) pour sa propre entrée (uniquement), d'ou la nécessité de demander à cet utilisateur de s'authentifier au préalable pour s'assurer des ces droits en écriture sur la bonne entré.
Un administrateur autorisé a faire des reset de pwd devra s'appuyer sur des ACL spécifiques attribuant le droit d'écriture de userpassword pour toutes les entrées (c'est une vision "simple" des ACL, on peut ensuite enrichir à souhait en fonction des besoins)

Il est également possible, quoi que juste un peu plus compliqué à mettre en oeuvre, de s'appuyer sur un mode d'autorisation "proxy" pour un utilisateur qui voudrait faire un reset de mot de passe si il a oublié celui-ci (dans ce cas, le bind n'est pas possible). Cela passe généralement par un mecanisme de notification à l'utilisateur qui fait la demande de reset, souvent basé sur du mail. Mais en entreprise, le mail risque fort de s'appuyer, et c'est tant mieux, sur LDAP... donc pas d'accés au mail non plus si le mot de passe est oublié. Le "self-reset" est un peu plus tricky en entreprise surtout si un seul mecanism d'autentification existe

Bob Philomene · Le 14/09/2010, à 09:29

mac-gyver31 a écrit :

inbox a écrit :
Salut,
Peut-être un piste ici ?
A+
Tout ce que je comprends de ce lien, c'est qu'il faut rajouter la ligne :
password sufficient pam_winbind.so
dans le fichier :
/etc/pam.d/common-password
J'ai essayé... Il se passe rien. Je m'attendais plutôt à devoir installer un soft avec une GUI qui demande mon user, mon AD de rattachement, le mdp actuel, le nouveau, et fasse le changement par dialogue avec le DC de l'AD...
Dommage que likewise ne fasse pas...

Bonjour,

C'est la méthode que j'ai employée pour modifier le mot de passe des utilisateurs authentifiés par l'Active Directory sur des stations Ubuntu intégrées au domaine.

Voici le contenu du fichier /etc/pam.d/common-password :

password optional pam_winbind.so
password   optional   pam_unix.so nullok obscure min=4 max=8 md5

Un simple passwd en ligne de commande permet ensuite de changer le mot de passe :

bob@station:~$ passwd
Changing password for bob
(current) NT password:

Il faut également vérifier que le fichier /etc/pam.d/passwd contient bien :

@include common-password

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/12/2009, à 14:12

Changement de son mot de passe Active Directory depuis Ubuntu

#2 Le 21/12/2009, à 19:57

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#3 Le 22/12/2009, à 15:52

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#4 Le 22/12/2009, à 16:33

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#5 Le 30/12/2009, à 11:09

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#6 Le 04/02/2010, à 00:05

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#7 Le 05/02/2010, à 17:02

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#8 Le 17/06/2010, à 17:12

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#9 Le 17/06/2010, à 17:20

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#10 Le 17/06/2010, à 17:39

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#11 Le 24/08/2010, à 06:44

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#12 Le 24/08/2010, à 07:45

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#13 Le 24/08/2010, à 07:47

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#14 Le 24/08/2010, à 09:42

Re : Changement de son mot de passe Active Directory depuis Ubuntu

#15 Le 14/09/2010, à 09:29

Re : Changement de son mot de passe Active Directory depuis Ubuntu

Pied de page des forums