A partir de HRaSuite 9 et du client 7.30.50, un onglet "Paramètres" est disponible dans les objets Plates-formes physiques. Ces paramètres sont stockés dans la table PP15.
Certains permettent le chiffrement des mots de passe dans l'annuaire HRDesign :
- UC_TEUC13 : Mode de chiffrement des mots de passe (0, 1 ou 2)
- UC_NBRMDP : Nombre de mots de passe chiffrés à conserver
- UC_NBMXCO : Nombre de tentatives infructueuses avant verrouillage de l'utilisateur
- UC_PWDVTM : Validité en nombre de jours des mots de passe
- UC_PWDVTW : Nombre de jours pendant lesquels afficher un message d'avertissement
Les paramètres de gestion des timeout :
- OP_TIMEOUT : Timeout de connexion en cas d'inactivité (en minutes)
- CX_TIMEOUT : Timeout de connexion global (en minutes)
- EV_SRVMAIL : Serveur de mail
- EV_RCVMAIL : Destinataire
- EV_CDTEMP : Template de mails
Concernant le chiffrement du mot de passe
Je note que les choses ont évolué. Le témoin UC_TEUC13 ajoute au mode de fonctionnement originel (UC_TEUC13=0) un chiffrement avancé avec stockage en table UC13 (UC_TEUC13=1). Le mot de passe n'est alors plus déchiffrable.
Les paramètres de la UC13 permettent nativement (sans traitement TBPPSW) :
- D'imposer des changements de mots de passe à une fréquence régulière,
- De gérer l'historique des mots de passe utilisés, par exemple, interdire de réutiliser un mot de passe choisi précédemment
- D'afficher des messages d'avertissement du type "le mot de passe expire dans n jours" ou d'erreur de saisie
- De verrouiller un utilisateur après plusieurs tentatives de connexion infructueuses
N54EN. NOTE *INSERTION DU MOT DE PASSE CRYPTE
F54EN. IF (W-WP00-TEUC13 = "1"
OR W-WP00-TEUC13 = "2")
AND W-WP00-MODMDP = "1"
NEXT SENTENCE ELSE GO TO F54EN-FN.
MOVE UC10-CDUTIL TO H-UC13-CDUTIL
MOVE SPACE TO H-UC13-CRPASS
MOVE W-WP00-CRPASS TO H-UC13-CRPASS
MOVE "S" TO H-UC13-CRYPTO
...
Dans BHM :
CALL "APK" USING ...
A noter :
- Positionner le témoin UC_TEUC13 à "2" (stockage du mot de passe en UC10 et en UC13) n'a d'intérêt que pour du "debug".
- Le UC_TEUC13 n'est consulté que lors de la réinitialisation du mot de passe d'un utilisateur. Une ligne est alors alimentée en UC13 et le CDPASS de la UC10 est mis à blanc :
DIGIX 0
SQL> select * from UC13 where CDUTIL='DIGIX';
DIGIX 0 S 0 e6fbc46ddc6418d7fe9eb1bd5a906fbc0432bbb9e4937377c468bbbc1bd76c3e
C'est un bon point ...
Alors passez vos TEUC13 à "1" et chiffrez, ne vous déplaise !
Ah, oubli - en complément du UC_TEUC13=1, pour les comptes UC10 existants il faut "updater" le UC10.CRYPTO à 'S'. C'est automatique en cas de création de nouveau User.
RépondreSupprimerMoins bien : si l'utilisateur a perdu son mot de passe, HRDSecurity perment de le reinitialiser, mais le mot de passe se retrouve à nouveau en clair dans la UC10. De plus la ligne UC13 dois être supprimée par un DELETE manuel !
RépondreSupprimerPascal a testé un UC_PWDVTM (durée de validité) sur 3 chiffres. Ca fonctionne - a condition de faire un update dans la table car Design Center ne permet de saisir que 2 chiffres ...
RépondreSupprimerLe script digest.sh de tomcat (avec l'option -s 0 si > 8.5) fournit un mot de passe chiffré identique au APK.c utilisé par HR pour le CRPASS de la table UC13. Ce qui permet de pré-alimenter la UC13 de comptes Design Center que l'on souhaite basculer ...
RépondreSupprimer