[Ltb-users] [selfpass] Utilisation de pwdHistory

Clément OUDOT clem.oudot at gmail.com
Thu Sep 1 16:19:07 CEST 2016


Le 31 août 2016 à 13:43, Mike Desy <thenoob06 at gmail.com> a écrit :
> Bonjour Clément,
>
> Je me permet de te contacter suite à une feature qui ne semble pas
> implémentée dans selfpass.
> En effet, selfpass permet de vérifier que l'ancien mot de passe n'est pas
> réutilisée.
> Mais dans le cadre de contraintes sécurité, nous avons besoin de vérifier
> que les 6 derniers mots de passe ne sont pas utilisés.
>
> Pour cela nous avons activé dans une politique openldap le pwdHistory à 6
>
> Crois tu que cela serait possible pour selfpass de récupérer les pwdHistory
> d'un user afin que le nouveau mot de passe choisi ne soit pas dans la liste
> des 6 précédents ?
>
> Merci d'avance pour ton aide
>

Hello,

Please prefer the mailing list to ask such question as it may interest
other people.

So the question is: could we support OpenLDAP pwdHistory?

The answer is no and yes:

* No because PHP-LDAP is not able to deal with password policy
control, and so can't know when the password is refused by LDAP server
if it's because it's too simple, to small, or in history. But in any
case, the password will be refused, so you can say that password
history is implemented, even if the user did not get the exact reason
of the password change error.

* Yes because we could try to read pwdHistory parameter and test new
password against all values found. But this would require some code
and is not a clean way to manage password policy.

You can open a ticket on github or propose a pull request:
https://github.com/ltb-project/self-service-password


Clément.


More information about the ltb-users mailing list