#! /usr/bin/env python # -*- coding: iso-8859-15 -*- """ Script de changement de mots de passe LDAP Utilisation : * cas 1 : sans arguements par un utlisateur lambda : changement de son propre mdp * cas 2 : avec argument par un utilisateur ayant accès total à la base LDAP (respbats) mais PAS ROOT : changement du mdp de l'adhérent fourni en argument, impossibilité de modifier le mdp d'un compte privilégié * cas 3 : lancé par root : possibilité de modifier tous les mots de passe LDAP Copyright (C) Frédéric Pauget Licence : GPLv2 """ import getpass, commands, os, sys, base64, syslog from user_tests import getuser from affich_tools import cprint try : from secrets import ldap_password, ldap_auth_dn except : ldap_password = '' ldap_auth_dn = '' uri = 'ldap://ldap.adm.crans.org' syslog.openlog('chgpass',syslog.LOG_PID,syslog.LOG_AUTH) def decode64(chaine): """ Décode une chaine de caratère utf8/64 et retourne un unicode """ return base64.decodestring(chaine).decode('utf8') def chgpass(dn) : cprint("""Le nouveau mot de passe doit comporter au minimum 6 caractères. Il ne doit pas être basé sur un mot du dictionnaire.""",'jaune') print "Il est conseillé d'utiliser une combinaison de minuscules, majuscules,\nde chiffres et d'au moins un caractère spécial." print "Le mot de passe tapé ne sera pas écrit à l'écran." print "Taper Ctrl-D pour abandonner" try : while 1 : mdp = getpass.getpass('Nouveau mot de passe : ') ### Test du mdp ## 1 - Longueur if len(mdp) < 6 : cprint('Mot de passe trop court','rouge') continue ## 2 - Empeche les mots de passe non ASCII try: mdp = mdp.encode('ascii') except UnicodeDecodeError: cprint('Les accents ou caractères bizarres ne sont pas autorisés (mais #!@*&%{}| le sont !)', 'rouge') continue ## 3 - assez de caractères de types différents ? chiffres = 0 majuscules = 0 minuscules = 0 autres = 0 for c in mdp[:] : if c.isdigit() : # Un chiffre rapporte 1.5 point avec un maximum de 5 if chiffres < 4.5 : chiffres += 1.5 elif c.islower() : if minuscules < 3 : minuscules += 1 elif c.isupper() : if majuscules < 3 : majuscules += 1 else : autres += 4 if len(mdp) < 16 - minuscules - majuscules - chiffres - autres or \ (not majuscules and not minuscules) : cprint('Mot de passe trop simple.','rouge') continue ## 4 - Cracklib test = commands.getoutput("echo '%s' | /usr/sbin/crack_testlib" % mdp) if test.split(':')[-1] != ' ok' : commentaire = { ' it does not contain enough DIFFERENT characters' : 'Il y a trop de caractères identiques.' , ' it is based on a dictionary word' : 'Le mot de passe est basé sur un mot du dictionnaire' , ' it is too simplistic/systematic' : 'Le mot de passe est trop simple/répétitif' }.get(test.split(':')[-1],test.split(':')[-1]) cprint(commentaire,'rouge') continue ### On redemande le mot de passe mdp1 = getpass.getpass('Retaper mot de passe : ') if mdp != mdp1 : cprint('Les deux mots de passe entrés sont différents, réesayer','rouge') continue break # Changement mdp if os.system("/usr/bin/ldappasswd -H '%s' -x -D '%s' -w '%s' '%s' -s '%s' > /dev/null" % (uri, ldap_auth_dn, ldap_password, dn, mdp) ): cprint('Erreur lors du changement de mot de passe','rouge') syslog.syslog("LDAP password changed for dn=%s" % dn) else : cprint('Changement effectué avec succès','vert') except KeyboardInterrupt : cprint('\nAbandon','rouge') pass except EOFError : # Un Ctrl-D cprint('\nAbandon','rouge') pass if __name__ == '__main__' : sys.stdout.write('\r \r') # Pour esthétique lors de l'utilisation par sudo if len(sys.argv) == 1 : # Changement de son mot de passe login = getuser() self_mode = True elif '-h' in sys.argv or '--help' in sys.argv or len(sys.argv) != 2 : print "%s " % sys.argv[0].split('/')[-1].split('.')[0] print "Changement du mot de passe du compte choisi." sys.exit(255) else : # Changement du mot de passe par un câbleur ou une nounou login = sys.argv[1] self_mode = False for c in login[:] : if not c.isalnum() and not c=='-' : cprint('Login incorrect','rouge') sys.exit(1) if getuser() == login : cprint('Utiliser passwd pour changer son propre mot de passe','rouge') sys.exit(2) if self_mode : s = commands.getoutput('sudo -u respbats ldap_whoami') else : s = commands.getoutput("/usr/bin/ldapsearch -D cn=readonly,dc=crans,dc=org -y/etc/ldap/readonly -x -LLL '(&(objectClass=posixAccount)(uid=%s))' dn nom prenom droits | grep -v MultiMachines" % login).strip() if not s : cprint('Login non trouvé dans la base LDAP','rouge') sys.exit(3) # Ca a l'air bon if s.find('\n\n') != -1 : # Plusieurs trouvé : pas normal cprint('Erreur lors de la recherche du login : plusieurs occurences !','rouge') sys.exit(4) s = s.split('\n') try : dn = s[0].split()[1] if len(s) == 2 or not s[2] : cprint("Changement du mot de passe du club %s "%decode64(s[1].split()[1]),'vert') else : cprint("Changement du mot de passe de %s %s " % ( s[2].split()[1], s[1].split()[1] ),'vert') except : cprint('Erreur lors de la recherche du login','rouge') sys.exit(5) if self_mode : # Il faut vérifier l'ancien mot de passe ldap_auth_dn = dn ldap_password = getpass.getpass('Mot de passe actuel : ') s = commands.getoutput("/usr/bin/ldapwhoami -H '%s' -x -D '%s' -w '%s'" % ( uri, ldap_auth_dn, ldap_password ) ).strip() try : resultat = s.split(':')[1].strip() except : cprint("Erreur lors de l'authentification",'rouge') sys.exit(7) if resultat != dn : cprint({ 'Invalid credentials (49)' : 'Mot de passe invalide' }.get(resultat,resultat),'rouge') sys.exit(8) elif len(s) > 3 and os.getuid()!=0 : # Adhérent avec droits et on est pas root From = 'roots@crans.org' To = 'roots@crans.org' mail = """From: Root <%s> To: %s Subject: Tentative de changement de mot de passe ! Tentative de changement du mot de passe de %s par %s. """ % ( From, To , login, os.getlogin() ) # Envoi mail import smtplib conn = smtplib.SMTP('localhost') conn.sendmail(From, To , mail ) conn.quit() cprint('Impossible de changer le mot de passe de cet adhérent : compte privilégié','rouge') sys.exit(6) # Finalement ! chgpass(dn)