Suite à une discussion sur la liste de diffusion macos-x-server je vous propose un petit article qui expliquera comment mettre en place une liste noire de mots de passe sur un OS X Server puis comment utiliser le même principe pour synchroniser une base externe (Google Apps, base de récupération de mot de passe…)
Nous allons commencer simplement, la mise en place d’une liste noire.
C’est quelque chose qui est possible sans ajout de logiciel, Mac OS X Server embarque tout d’origine, il suffit de (savoir) l’activer.
Commençons par éditer le fichier de configuration du serveur de mots de passe de Mac OS X Server (PasswordServer) : /Library/Preferences/com.apple.passwordserver.plist
Ce fichier est au format plist et contiens une clef nommée ExternalCommand qui est réglé par défaut à Disabled. La chose à savoir sur cette clef c’est quelle prend deux type de valeurs, Disabled d’une part et le nom d’une commande de l’autre. Cette commande ne doit pas être placé n’importe où, mais dans /usr/sbin/authserver/tools.
Si vous regardez le contenue de ce dossier, vous verrez qu’il contient un binaire nommé weakpass. C’est lui qui va s’occuper de vérifier le mot de passe choisi par rapport à votre liste noire. Son fonctionnement est très simple, il prend en paramètre deux arguments, le nom de l’utilisateur cible ainsi que le grade de l’utilisateur ayant fait la demande (admin ou standard). Dans le cas d’une demande émanant d’un admin, weakpass acceptera toujours le mot de passe.
Nous allons donc remplacer la valeur Disabled de la clef ExternalCommand par weakpass et sauvegarder le fichier de configuration. Il n’y a rien à redémarrer, PasswordServer prend automatiquement en compte le changement de réglage.
Il ne vous reste plus qu’à remplir votre liste noire, une commande existe pour cela : weakpass_edit
Un tour dans la page de manuel vous indiquera quelle comprend deux verbes, add et delete suivit de deux options possibles, -p toto pour un mot de passe seul ou -f toto.txt pour un fichier de mot de passe.
Et voilà ! Il n’y a rien d’autre à faire, votre liste noire est fonctionnelle !
Ping : Twitted by ygini
Ping : Tweets that mention Yoann Gini » OpenDirectory, liste noire de mots de passe & synchronisation avec base externe -- Topsy.com