Vérification des mots de passe des utilisateurs lors de l'authentification
Vous pouvez activer la vérification du mot de passe afin de permettre à un utilisateur Notes® de s'authentifier sur un serveur uniquement après avoir fourni le mot de passe correct qui est associé à l'ID utilisateur.
Si un utilisateur non autorisé est en possession de l'ID et du mot de passe associé, le propriétaire de l'ID peut utiliser la vérification du mot de passe pour modifier ce dernier et empêcher l'utilisateur pirate d'utiliser cet ID pour s'authentifier auprès des serveurs. Ainsi, lorsque l'utilisateur non autorisé tente une nouvelle fois d'accéder à un serveur via l'ID et l'ancien mot de passe, le serveur vérifie le mot de passe, constate que le mot de passe saisi ne correspond pas au nouveau, et refuse l'accès au serveur à l'utilisateur non autorisé. Sans vérification des mots de passe, un utilisateur non autorisé aurait la possibilité de recourir à un ID et à un mot de passe, même après modification de ce dernier par le propriétaire, car, par défaut, le mot de passe n'est utilisé que pour déchiffrer le fichier ID et sa concordance avec le mot de passe enregistré dans l'annuaire Domino® n'est pas contrôlée. Si vous activez la vérification des mots de passe, exigez des utilisateurs qu'ils modifient les mots de passe associés à leurs ID à intervalles réguliers. A l'approche de la date de modification (une fois les deux tiers de l'intervalle de modification écoulés, mais avec un minimum de deux jours restants), un message en informe l'utilisateur. Lors de la modification du mot de passe, l'ID et le document Personne actuels sont mis à jour pour y inclure le nouveau mot de passe.
Si un utilisateur possède plusieurs fichiers ID, il doit modifier le mot de passe dans chacun d'eux pour qu'ils correspondent au nouveau mot de passe. La vérification des mots de passe n'est pas possible pour les fichiers ID qui contiennent plusieurs mots de passe.
Chaque fois qu'un utilisateur modifie un mot de passe, il doit veiller à ce que le nouveau mot de passe soit unique. Notes® conserve à cet effet un maximum de 50 mots de passe précédemment employés. Si vous activez la vérification de l'historique des mots de passe (en utilisant un document de paramètres de sécurité), vous pouvez configurer le nombre de nouveaux mots de passe qui doivent être utilisés avant qu'un mot de passe donné ne puisse être réemployé.
Un mot de passe arrivé à expiration n'empêche pas un utilisateur de lire du courrier chiffré ni de créer de nouveaux documents signés sur les répliques locales ; cependant, s'il ne spécifie pas un nouveau mot de passe, il n'aura pas la possibilité d'accéder aux bases de données des serveurs.
Notez que la vérification des mots de passe pendant l'authentification ne s'applique pas aux utilisateurs Internet car ils ne possèdent pas d'ID utilisateur Notes® (à moins que leurs mots de passe Notes® et Internet ne soient synchronisés). Si les mots de passe Notes® et Internet sont synchronisés, toutes les modifications apportées aux paramètres de mots de passe Notes® peuvent affecter les mots de passe Internet.
Processus d'administration et vérification des mots de passe
La vérification des mots de passe exige la mise à jour des documents de l'annuaire Domino® par le processus d'administration. Lorsque vous activez cette vérification pour un utilisateur, le processus d'administration crée une demande Set Password Information
dans la base Demandes d'administration. Domino® exécute cette demande conformément au paramètre défini dans le champ Fréquence (onglet Tâches serveur, section Processus d'administration) du document Serveur. Cette demande active la vérification des mots de passe par la saisie de valeurs dans les champs Vérification du mot de passe, Intervalle de modification requis et Délai autorisé de la section Administration du document Personne de l'utilisateur.
Lorsque l'utilisateur se connecte pour la première fois à un serveur qui exige une vérification des mots de passe, le processus d'administration génère une demande Change User Password in Domino Directory
, dans la base demandes d'administration. Cette demande saisit le hachage correspondant d'une clé publique RSA provenant du hachage du mot de passe Notes® et d'autres informations secrètes stockées dans le fichier ID, dans le champ Historique des mots de passe de la section Administration du document Personne. La date à laquelle l'utilisateur a choisi ce mot de passe est également enregistrée dans le champ Date de la dernière modification de ce même document Personne. Pour s'authentifier auprès des serveurs sur lesquels la vérification des mots de passe est activée, l'utilisateur doit indiquer le mot de passe correspondant à celui de l'historique.
Par la suite, chaque fois qu'un utilisateur modifie un mot de passe, le processus d'administration génère dans la base Demandes d'administration une nouvelle demande Change User Password in Domino Directory
. Cette demande procède à la mise à jour des champs Historique des mots de passe et Date de dernière modification du document Personne. Une modification de l'intervalle de modification requis ou du délai autorisé après activation de la vérification du mot de passe nécessite une mise à jour par le processus d'administration des champs du document Personne, puis une modification du mot de passe par l'utilisateur pour que les modifications soient prises en compte.
Intervalles de modification requis et délais autorisés
Vous pouvez configurer un serveur pour qu'il vérifie les mots de passe des utilisateurs lors de l'authentification sans les obliger à modifier leur mot de passe. Si vous imposez une modification des mots de passe, vous pouvez spécifier un délai autorisé, qui indique le temps dont dispose l'utilisateur (au terme de l'expiration de l'intervalle de modification requis) pour choisir un nouveau mot de passe avant de se voir interdire l'accès au serveur. Si un intervalle de modification arrive à expiration avant que l'utilisateur n'ait modifié son mot de passe, ce dernier ne pourra s'authentifier auprès des serveurs exigeant une vérification des mots de passe que lorsqu'il aura créé un nouveau mot de passe. Lorsque le délai autorisé expire et que l'utilisateur n'a toujours pas modifié le mot de passe, il ne peut s'authentifier que si l'administrateur supprime manuellement les informations figurant dans le champ Historique des mots de passe du document Personne et si l'utilisateur crée un nouveau mot de passe. Si un utilisateur non autorisé modifie le mot de passe associé à un ID avant que le propriétaire de l'ID ne le fasse, le propriétaire autorisé n'a plus la possibilité de s'authentifier et le message suivant s'affiche alors :
You have a different password on another copy of your ID file and you must change the password on this copy to match.
Dans ce cas, supprimez la valeur inscrite dans le champ Historique des mots de passe et demandez à l'utilisateur autorisé de se connecter immédiatement et de saisir un nouveau mot de passe.