25 février 2015

Onglet "Paramètres" des Plate-Forme Physiques et usage de la UC13


A partir de HRaSuite 9 et du client 7.30.50, un onglet "Paramètres" est disponible dans les objets Plates-formes physiques. Ces paramètres sont stockés dans la table PP15.

Certains permettent le chiffrement des mots de passe dans l'annuaire HRDesign :
  • UC_TEUC13 : Mode de chiffrement des mots de passe (0, 1 ou 2)
  • UC_NBRMDP : Nombre de mots de passe chiffrés à conserver
  • UC_NBMXCO : Nombre de tentatives infructueuses avant verrouillage de l'utilisateur
  • UC_PWDVTM : Validité en nombre de jours des mots de passe
  • UC_PWDVTW : Nombre de jours pendant lesquels afficher un message d'avertissement




En revanche je ne retrouve pas dans cet onglet :

Les paramètres de gestion des timeout :
  • OP_TIMEOUT : Timeout de connexion en cas d'inactivité (en minutes)
  • CX_TIMEOUT : Timeout de connexion global (en minutes)
Les paramètres de gestion des envois de mail sur évènement :
  • EV_SRVMAIL : Serveur de mail
  • EV_RCVMAIL : Destinataire
  • EV_CDTEMP   : Template de mails

Concernant le chiffrement du mot de passe
Je note que les choses ont évolué. Le témoin UC_TEUC13 ajoute au mode de fonctionnement originel (UC_TEUC13=0) un chiffrement avancé avec stockage en table UC13 (UC_TEUC13=1). Le mot de passe n'est alors plus déchiffrable.

Les paramètres de la UC13 permettent nativement (sans traitement TBPPSW) :
  • D'imposer des changements de mots de passe à une fréquence régulière,
  • De gérer l'historique des mots de passe utilisés, par exemple, interdire de réutiliser un mot de passe choisi précédemment  
  • D'afficher des messages d'avertissement du type "le mot de passe expire dans n jours" ou d'erreur de saisie  
  • De verrouiller un utilisateur après plusieurs tentatives de connexion infructueuses
Dans BTE :
N54EN.    NOTE *INSERTION DU MOT DE PASSE CRYPTE
F54EN.    IF    (W-WP00-TEUC13 = "1"           
          OR    W-WP00-TEUC13 = "2")           
          AND   W-WP00-MODMDP = "1"            
          NEXT SENTENCE ELSE GO TO     F54EN-FN.
    MOVE        UC10-CDUTIL TO H-UC13-CDUTIL   
    MOVE        SPACE TO H-UC13-CRPASS         
    MOVE        W-WP00-CRPASS TO H-UC13-CRPASS 
    MOVE        "S" TO H-UC13-CRYPTO            
...   

Dans BHM :
CRYPTAGE SHA256 MOT PASSE SAISI          
    CALL        "APK" USING ...

                               


 


A noter :
  • Positionner le témoin UC_TEUC13 à "2" (stockage du mot de passe en UC10 et en UC13) n'a d'intérêt que pour du "debug".
  • Le UC_TEUC13 n'est consulté que lors de la réinitialisation du mot de passe d'un utilisateur. Une ligne est alors alimentée en UC13 et le CDPASS de la UC10 est mis à blanc :
SQL> select cdutil,crypto,cdpass from uc10 where CDUTIL='DIGIX';
DIGIX 0

SQL> select * from UC13 where CDUTIL='DIGIX';
DIGIX          0 S          0 e6fbc46ddc6418d7fe9eb1bd5a906fbc0432bbb9e4937377c468bbbc1bd76c3e

C'est un bon point ...
Alors passez vos TEUC13 à "1" et chiffrez, ne vous déplaise !
Libellés :

3 commentaires:

  1. DIGIX25 février 2015 à 16:02

    Ah, oubli - en complément du UC_TEUC13=1, pour les comptes UC10 existants il faut "updater" le UC10.CRYPTO à 'S'. C'est automatique en cas de création de nouveau User.

    RépondreSupprimer
  2. DIGIX13 mai 2015 à 10:52

    Moins bien : si l'utilisateur a perdu son mot de passe, HRDSecurity perment de le reinitialiser, mais le mot de passe se retrouve à nouveau en clair dans la UC10. De plus la ligne UC13 dois être supprimée par un DELETE manuel !

    RépondreSupprimer
  3. DIGIX20 mai 2015 à 14:10

    Pascal a testé un UC_PWDVTM (durée de validité) sur 3 chiffres. Ca fonctionne - a condition de faire un update dans la table car Design Center ne permet de saisir que 2 chiffres ...

    RépondreSupprimer

Inscription à : Publier les commentaires (Atom)