pqChecker
OpenLDAP password policy pwdCheckModule - Page 1
Fonctionnement du contrôle de qualité et de la diffusion des mots de passe

La documentation du module ppolicy nous renseigne sur le prototype de l'unique fonction que doit contenir le plug-in pqChecker. Quand Openldap muni de ppolicy est installé, exécuter la commande shell:

man slapo-ppolicy
...
int check_password (char *pPasswd, char **ppErrStr, Entry *pEntry);
...

Les paramètres les plus importants, sont le mot de passe reçu et la valeur retournée au serveur.

  • pPasswd contient le mot de passe à inspecter que le serveur transmet à pqChecker.
  • La valeur retournée au serveur et qui doit être LDAP_SUCCESS (sldap.h) dans le cas de l'acceptation du mot de passe, ou n'importe quelle autre valeur dans le cas de son rejet.
 
OpenLDAP password policy pwdCheckQuality

Le traitement de vérification s'appuie, pour décider de l'acceptation ou du rejet du mot de passe, sur des paramètres stockés dans un fichier texte appelé pqparams.dat. Un administrateur système peut modifier manuellement ces paramètres, pour modifier la politique de la qualité des mots de passe. Plus efficacement, la modification de ces paramètres peut se faire par programmation. Ceci permet de fournir la possibilité de les modifier à travers une interface utilisateur conviviale, qui ne nécessite l'octroi d'aucun droit d'administration système. C'est pour cela que le composant propose deux fonctions supplémentaires pour la lecture et la modification des paramètres.

Quand un mot de passe est validé, il peut être diffusé à d'autres systèmes, si cette fonctionnalité est activée dans les paramètres de fonctionnement. La diffusion des mots de passe s'effectue à travers le middleware pqMessenger.

pqMessenger utilise l'interface JNI pour communiquer avec pqChecker d'un côté. D'un autre côté il communique avec un Message oriented middleware (MoM). Il agit comme intermédiaire entre le plug-in natif pqChecker et le MoM. Ainsi, une application externe qui fournit la fonctionnalité de modification de ces paramètres à travers une interface conviviale et une fonctionnalité de diffusion de données, peut utiliser cette chaîne de transmission de messages de manière très simple.