.\" Copyright (c) 2000-2002 Solar Designer. .\" All rights reserved. .\" Copyright (c) 2001 Networks Associates Technology, Inc. .\" All rights reserved. .\" .\" Portions of this software were developed for the FreeBSD Project by .\" ThinkSec AS and NAI Labs, the Security Research Division of Network .\" Associates, Inc. under DARPA/SPAWAR contract N66001-01-C-8035 .\" ("CBOSS"), as part of the DARPA CHATS research program. .\" .\" Redistribution and use in source and binary forms, with or without .\" modification, are permitted provided that the following conditions .\" are met: .\" 1. Redistributions of source code must retain the above copyright .\" notice, this list of conditions and the following disclaimer. .\" 2. Redistributions in binary form must reproduce the above copyright .\" notice, this list of conditions and the following disclaimer in the .\" documentation and/or other materials provided with the distribution. .\" 3. The name of the author may not be used to endorse or promote .\" products derived from this software without specific prior written .\" permission. .\" .\" THIS SOFTWARE IS PROVIDED BY THE AUTHOR AND CONTRIBUTORS ``AS IS'' AND .\" ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE .\" IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE .\" ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE .\" FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL .\" DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS .\" OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) .\" HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT .\" LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY .\" OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF .\" SUCH DAMAGE. .\" .\" $FreeBSD: src/lib/libpam/modules/pam_passwdqc/pam_passwdqc.8,v 1.4 2002/05/30 14:49:57 ru Exp $ .\" $Id: pam_passwdqc.8,v 1.2 2002/07/23 09:18:49 solar Exp $ .\" .\" french translation by Denis Ducamp .Dd 21 Juillet 2002 .Dt PAM_PASSWDQC 8 .Os .Sh NOM .Nm pam_passwdqc .Nd Module PAM de contrôle de la qualité des mots de passe .Sh RÉSUMÉ .Op Ar nom-de-service .Ar type-de-module .Ar drapeau-de-contrôle .Pa pam_passwdqc .Op Ar options .Sh DESCRIPTION Le module .Nm est un simple module de vérification de la force des mots de passe pour PAM. En plus de vérifier les mots de passe ordinaires, il offre un support pour les passphrases et peut fournir des mots de passe générés aléatoirement. .Pp Le module .Nm ne fournit les fonctionnalités que pour un seul groupe de gestion PAM : le changement de mots de passe. En termes de paramètres de .Ar type-de-module , c'est la fonctionnalité .Dq Li password . .Pp La fonction de service .Fn pam_chauthtok peut demander un nouveau mot de passe à l'utilisateur, et vérifier qu'il satisfait certains standards minimaux. Si le mot de passe choisi n'est pas satisfaisant, la fonction de service retourne .Dv PAM_AUTHTOK_ERR . .Pp Les options suivantes peuvent être passées au module : .Bl -tag -width indent .It Xo .Sm off .Cm min No = Ar N0 , N1 , N2 , N3 , N4 .Sm on .Xc .Sm off .Pq Cm min No = Cm disabled , No 24 , 12 , 8 , 7 .Sm on Les longueurs minimales autorisées de mots de passe pour différents types de mots de passe et passphrases. Le mot clé .Cm disabled peut être utilisé pour interdire les mots de passe d'un type donné sans tenir compte de leurs longueurs. Il est requis que chaque nombre ultérieur ne soit pas plus grand que le précédent. .Pp .Ar N0 est utilisé pour les mots de passe constitués de caractères d'une seule classe de caractères seulement. Les classes de caractères sont : chiffres, lettres minuscules, lettres majuscules, et autres caractères. Il y a aussi une classe spéciale pour les caractères .No non- Ns Tn ASCII qui ne pouvaient être classifiés, mais sont supposés ne pas être des chiffres. .Pp .Ar N1 est utilisé pour les mots de passe constitués de caractères de deux classes de caractères, qui ne satisfont pas aux besoins pour une passphrase. .Pp .Ar N2 est utilisé pour les passphrases. Une passphrase doit être constituée de suffisamment de mots (voir l'option .Cm passphrase ci-dessous). .Pp .Ar N3 et .Ar N4 sont utilisés pour les mots de passe constitués de caractères de trois et quatre classes de caractères, respectivement. .Pp En calculant le nombre de classes de caractères, les lettres majuscules utilisées comme premier caractère et les chiffres utilisés comme dernier caractère d'un mot de passe ne sont pas comptés. .Pp En plus d'être suffisamment longs, les mots de passes sont requis de contenir assez de caractères différents pour les classes de caractères et la longueur minimale pour lesquels ils ont été vérifiés. .Pp .It Cm max Ns = Ns Ar N .Pq Cm max Ns = Ns 40 La longueur maximale autorisée des mots de passe. Ceci peut être utilisé pour prévenir que les utilisateurs définissent des mots de passe qui pourraient être trop longs pour quelques services systèmes. La valeur 8 est traitée spécialement : si .Cm max est configuré à 8, les mots de passe plus longs que 8 caractères ne seront pas rejetés, mais seront tronqués à 8 caractères pour les vérifications de force et l'utilisateur sera averti. Ceci pour être utilisé avec les empreintes de mots de passe traditionnelles basées sur le DES, qui tronquent le mot de passe à 8 caractères. .Pp Il est important que vous définissiez .Cm max Ns = Ns 8 si vous utilisez les empreintes traditionnelles, ou quelques mots de passe faibles passeront les vérifications. .It Cm passphrase Ns = Ns Ar N .Pq Cm passphrase Ns = Ns 3 Le nombre de mots requis pour une passphrase, ou 0 pour désactiver le support des passphrases. .It Cm match Ns = Ns Ar N .Pq Cm match Ns = Ns 4 La longueur requise des sous-chaînes communes pour conclure qu'un mot de passe est au moins partiellement basé sur l'information trouvée dans une chaîne de caractères, ou 0 pour désactiver la recherche de sous-chaînes. Notez que le mot de passe ne sera pas rejeté une fois qu'une sous-chaîne faible est trouvée; il sera à la place, sujet aux habituels besoins de force avec la chaîne faible supprimée. .Pp La recherche de sous-chaînes n'est pas sensible aux différences minuscules / majuscules et est capable de détecter et de supprimer une chaîne commune écrite à l'envers. .It Xo .Sm off .Cm similar No = Cm permit | deny .Sm on .Xc .Pq Cm similar Ns = Ns Cm deny Si le nouveau mot de passe est autorisé à être similaire à l'ancien ou non. Les mots de passe sont considérés comme similaires quand il y a une sous-chaîne commune suffisamment longue et que le nouveau mot de passe avec la sous-chaîne supprimée serait faible. .It Xo .Sm off .Cm random No = Ar N Op , Cm only .Sm on .Xc .Pq Cm random Ns = Ns 42 La taille des mots de passe générés aléatoirement en bits, ou 0 pour désactiver cette fonctionnalité. Les mots de passe qui contiennent la chaîne offerte aléatoirement générée seront autorisés sans tenir compte des autres restrictions possibles. .Pp Le modificateur .Cm only peut être utilisé pour désactiver les mots de passe choisis par l'utilisateur. .It Xo .Sm off .Cm enforce No = Cm none | users | everyone .Sm on .Xc .Pq Cm enforce Ns = Ns Cm everyone Le module peut être configuré pour avertir seulement des mots de passe faibles, mais ne pas imposer vraiment des mots de passe forts. La définition .Cm users imposera les mots de passe forts seulement pour les utilisateurs non-root. .It Cm non-unix Normalement, .Nm utilise .Xr getpwnam 3 pour obtenir les informations personnelles de connexion de l'utilisateur et utilise ceci durant les vérifications de force des mots de passe. Ce comportement peut être désactivé avec l'option .Cm non-unix . .It Cm retry Ns = Ns Ar N .Pq Cm retry Ns = Ns 3 Le nombre de fois que le module sera interrogé pour un nouveau mot de passe si l'utilisateur échoue à fournir un mot de passe suffisamment fort et de le rentrer deux fois la première fois. .It Cm ask_oldauthtok Ns Op = Ns Cm update Demande également l'ancien mot de passe. Normalement, .Nm laisse cette tâche aux modules ultérieurs. Sans argument, l'option .Cm ask_oldauthtok fera demander par .Nm l'ancien mot de passe durant la phase de vérification préliminaire. Si l'option .Cm ask_oldauthtok est spécifiée avec l'argument .Cm update , .Nm fera cela durant la phase de mise à jour. .It Cm check_oldauthtok Ceci demande à .Nm de valider l'ancien mot de passe avant de donner le prompt du nouveau mot de passe. Normalement, cette tâche est laissée aux modules ultérieurs. .Pp L'utilisation principale de cette option est quand .Cm ask_oldauthtok Ns = Ns Cm update est également spécifié, dans ce cas aucun autre module ne pourra avoir la chance de demander et valider le mot de passe. Bien sûr, ceci ne fonctionnera qu'avec les mots de passe .Ux . .It Cm use_first_pass , use_authtok Utilise le nouveau mot de passe obtenu par les modules empilés avant .Nm . Ceci désactive l'interaction utilisateur dans .Nm . La seule différence entre .Cm use_first_pass et .Cm use_authtok est que le premier est incompatible avec .Cm ask_oldauthtok . .El .Sh VOIR AUSSI .Xr getpwnam 3 , .Xr pam.conf 5 , .Xr pam 8 .Sh AUTEURS Le module .Nm a été écrit pour Openwall GNU/*/Linux par .An Solar Designer Aq solar@openwall.com . Cette page de manuel, dérivée de la documentation de l'auteur, a été écrite par le projet .Fx par ThinkSec AS et NAI Labs, la Security Research Division de Network Associates, Inc. sous contrat N66001-01-C-8035 de DARPA/SPAWAR .Pq Dq CBOSS , partie du programme de recherche du DARPA CHATS. .Sh TRADUCTEUR .An Denis Ducamp Aq Denis.Ducamp@groar.org