L'actu sur le net

- Contributions de l’équipe OSSA
- Toolinux
- Da Linux French Page
- Daily Daemon News
- Libroscope
- Linagora.com
- LinuxFrench.Net
- LogicielLibre.Net
- PHP

Articles populaires

- [Manuel] Introduction à Cacti
- [Tutoriel] Ajout d’un script dans les commandes Nagios
- [Nagios] Surveillance des disques RAID sous Linux
- [OpenLDAP] Start/stop script
- Fichiers de configurations Samba
- JMX (Java Management eXtensions)
- [OpenLDAP] Script de démarrage et d’arrêt
- [Nagios] Supervision of OpenLDAP’s replication status

 © Linagora.com

Accueil > Contributions > OpenLDAP > [OpenLDAP] Script d’avertissement d’expiration des comptes

[OpenLDAP] Script d’avertissement d’expiration des comptes

Utilisation avancée de la politique des mots de passe

Présentation

Ce script shell est destiné à être exécuté automatiquement, par cron par exemple. Il est conseillé de le faire fonctionner quotidiennement, mais sa fréquence doit être adaptée à la politique des mots de passe appliquée (temps de vie du mot de passe et délai d’avertissement).

Il nécessite les programmes suivants :
- gawk (GNU awk)
- ldapsearch
- mailx

Il a été testé sur GNU/Linux et SunOS 5.8.

Usage

Le script peut s’exécuter manuellement ou à travers cron. Il ne prend pas d’arguments :

sh checkLdapPwdExpiration.sh

On peut utiliser STDOUT et STDERR pour isoler les traces du logiciel :

sh checkLdapPwdExpiration.sh 1>result.log 2>audit.log

Auquel cas les fichiers auront le contenu suivant :
- result.log

--- Statistics ---
Users checked: 5
Account expired: 1
Account in warning: 1

- audit.log

No password policy for coudot
Password expired for sbahloul
No password change date for tchemineau
No password change date for rouazana
Mail sent to user farmand (farmand@example.com)

Configuration

La configuration se situe dans le script shell, en renseignant les variables suivantes :
- MY_LDAP_HOSTURI : URI d’accès à l’annuaire LDAP ;
- MY_LDAP_ROOTDN (optionnel) : DN de connexion à l’annuaire LDAP. La connexion sera anonyme si ce paramètre est commenté ;
- MY_LDAP_ROOTPW : mot de passe de connexion à l’annuaire LDAP ;
- MY_LDAP_DEFAULTPWDPOLICYDN : DN de la politique des mots de passe appliquée par défaut. Si aucune politique n’est appliquée par défaut, commenter ce paramètre. Dans ce cas, le script n’agira que sur les comptes possédant une politique associée ;
- MY_LDAP_SEARCHBASE : base de recherche des utilisateurs ;
- MY_LDAP_SEARCHFILTER : filtre de recherche des utilisateurs ;
- MY_LDAP_SEARCHBIN : chemin complet vers le binaire ldapsearch.
- MY_MAIL_DELAY : délai pendant lequel l’utilisateur est averti avant l’expiration de son mot de passe. Aucun avertissement n’est envoyé après l’expiration. Si ce paramètre est commenté et que la politique des mots de passe fournit une valeur pour le délai d’avertissement (pwdExpireWarning), alors c’est cette dernière qui sera utilisée ;
- MY_LDAP_NAME_ATTR : nom de l’attribut contenant le nom de l’utilisateur ;
- MY_LDAP_LOGIN_ATTR : nom de l’attribut contenant l’identifiant de l’utilisateur ;
- MY_LDAP_MAIL_ATTR : nom de l’attribut contenant le courriel de l’utilisateur ;
- MY_MAIL_BODY : corps du message ;
- MY_MAIL_SUBJECT : sujet du message ;
- MY_MAIL_BIN : binaire utilisé pour envoyer le mail (mailx) ;
- MY_LOG_HEADER : en-tête des lignes de log ;
- MY_GAWK_BIN : chemin complet vers le binaire gawk.

(C) 2008 Clément OUDOT

(C) 2007 Thomas CHEMINEAU

(C) 2007 LINAGORA


Shell script

 Qui sommes nous ?

Dernière mise à jour : 27/08/2008
XHTML - SPIP 1.9.2