Forcer le changement du mot de passe avec mise à jour de l'ID lorsqu'on a uniquement des utilisateurs iNotes ? Oui c'est possible... #inotes #IBMDomino #IBM


La tendance est au client "léger" et au déploiement simplifié. Bref, le navigateur internet a pris une part de plus en plus grande dans les déploiements de IBM Domino.

Mais, comme aurait dit Monsieur de La Palisse, quand on a des clients "légers", on n'a plus de client "lourd" ...  et l'application des "policy" de mots de passe est différente.
 
Mettre en place une politique de changement de mot de passe régulier pose un problème car le processus de synchronisation est alors différent.
Pas de solution ? Mais si, mais si... L'application de changement de mot de passe de Tilaune.


Comme tout bon administrateur ou administratrice (mais les filles sont, hélas, trop rares... ), vous avez intégré l'ID Notes dans la base de courrier pour gérer Signature/Chiffrement des messages. Vous avez mis en place un IdVault et une politique de sécurité forçant la modification et la synchronisation
Pas de soucis pour vos clients Notes : ils changent les mots de passe de leur ID local en temps et en heure. Les ids sont synchronisés avec le serveur et tout le monde est content. Pour les clients iNotes, c'est différent.

Pourquoi la politique de synchronisation des mots de passe ne fonctionne pas avec les clients iNotes ? 



Les options de la politique de sécurité pour le changement de mots de passe s’appliquent en totalité aux clients Notes mais certaines seulement aux clients iNotes.
Le paramètre « Force user to change Internet Password on next login » de la fiche Personne ne s'applique qu'au changement de mot de passe Internet (HTTPPassword) pour les clients iNotes. Il ne modifie ni l'IdVault ni l'id de la base.

La synchronisation du mot de passe de l’Id Notes se diffuse du client Notes vers le client iNotes et non dans le sens le contraire.

Si l’utilisateur doit changer son mot de passe avec une synchronisation d'ID, il ne peut le faire que par les « préférences/sécurité » de sa base de courrier
Il pourra changer de mot de passe et il y aura synchronisation dans l'ID Vault, dans l'ID contenu dans la base et dans le champ HTTPPassword de la fiche personne.
 


Le changement est laissé au bon vouloir de l'utilisateur... donc...  jamais ou presque ...

L'application de changement de mot de passe de Tilaune :

Nous avons été confronté à ce dilemme "Faire confiance aux utilisateurs pour les changements" :-) ou "Mettre à disposition un outil pour les administrateurs" et ... nous avons donc opté pour l'outil.

Comment fonctionne l’outil Tilaune ?

Sur la base de deux agents principaux à planifier et d’un document de paramétrage.
Le premier agent va auditer et lancer la demande de changement. L'autre va loguer ce qui est fait par les utilisateurs et quand.

 La page de paramètrage de l'application de changement de mots de passe
- La page de paramétrage -




Comme on ne peut pas utiliser le masque standard de changement de mot de passe, l’application va contenir ses propres paramètres en s'appuyant sur les politiques de sécurité définies par les administrateurs.

Le document de paramétrage, défini les grandes lignes de la politique de sécurité pour permettre l’affichage des "vrais messages d'erreurs" aux utilisateurs et non un message bateau "Error code 4755" si les règles ne sont pas respectées





Fonctionnement :
On peut travailler en mode "Audit" ou en mode "Forcer le mot de passe"

Agent d'audit et d'envoi de notification  :
Cet agent permet d'obtenir les informations de statut : la date du dernier changement de mot de passe, la date attendue pour le prochain changement, la date du blocage du compte, etc ...

Vue des audits des dates de validités des mots de passe
- Vue des audits des dates de validités des mots de passe -


Si l'utilisateur doit changer son mot de passe, il reçoit un mail avec le lien URL qui lui permettra d'effectuer cette tâche.

Ecran de changement de mot de passe
- Ecran de changement de mot de passe -

Si le mot de passe n'est pas changé au terme de la période de "PasswordGracePeriod" l'utilisateur bascule dans le groupe des intrus ...

Bref, on revient dans le domaine connu des administrateurs Domino ...

Si vous avez besoin de plus d'informations, le formulaire de contact est là pour ça...

Aucun commentaire: