Mot de passe sous format text ?

Dans le message news:216cd01c45ac7$d4301850$a101280a@phx.gbl ,
bouga <anonymous@discussions.microsoft.com> s'est ainsi exprimé:

bonjour
je veux savoir comment configurer un contrôleur de domaine
Win 2000 pour qu'il puisse stocker les mots de passe
utilisateurs sous format text.

C'est dans les clefs :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkStationParam
eters
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRdrParameters

Entrée "EnablePlainTextPassword" (REG_DWORD)
et lui attribuer la valeur 1


Mais ce n'est pas très recommandé au point de vue sécurité, çà !
Si c'est pour dialoguer avec un serveur Linux/Samba , je te signale qu'à
partir de la version 2.2.1.a de SAMBA, les mots de
passe chiffrés sont traités!
Donc ce n'est plus la peine de s'embêter avec ces pb de passwords!

Dans le fichier de config "Smb.cnf" du serveur Linux, on doit alors trouver
:
[Global]
Workgroup = xxxxxxxxxxxx
Security = Server
Encrypt Passwords = Yes


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org Jean-Claude.Bellamy@wanadoo.fr *
JC.Bellamy@free.fr

c gentille de ta part

C'est dans les clefs :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanma
nWorkStationParameters

cette cléf, je l'ai trouvé

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRdrP
arameters

mais cella , je ne l'ai pas trouvé, sachant que je suis
sur un controleur de domaine.

mais, si je veut voir cette liste de mots de pass sous
format text, je doit chercher oû ?

en fait, je veut avoir la liste des mots de passe en text,
par ce que le mothode "d'authentification Digest" sous IIS
5.0 necessite que les mots de passe des utilisateurs soit
sous format text.

c gentille de ta part

C'est dans les clefs :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanma
nWorkStationParameters

cette cléf, je l'ai trouvé

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRdrP
arameters

mais cella , je ne l'ai pas trouvé, sachant que je suis
sur un controleur de domaine.

mais, si je veut voir cette liste de mots de pass sous
format text, je doit chercher oû ?

en fait, je veut avoir la liste des mots de passe en text,
par ce que le mothode "d'authentification Digest" sous IIS
5.0 necessite que les mots de passe des utilisateurs soit
sous format text.

Dans le message news:2193601c45b63$9c16db10$a301280a@phx.gbl ,
bouga <anonymous@discussions.microsoft.com> s'est ainsi exprimé:

c gentille de ta part

C'est dans les clefs :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanma
nWorkStationParameters

cette cléf, je l'ai trouvé

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRdrP arameters

mais cella , je ne l'ai pas trouvé, sachant que je suis
sur un controleur de domaine.

mais, si je veut voir cette liste de mots de pass sous
format text, je doit chercher oû ?
NULLE PART !

Aucun mot de passe n'est accessible statiquement (dans la BDR) sous Windows.
A l'extrême rigueur, si on a demandé les mots de passe en clair pour
l'authentifcation, en "sniffant" le réseau (d'où le danger de ce
paramétrage) on peut récupérer le mot de pase d'un compte AU MOMENT de la
connexion vers un serveur Smab p.ex., mais c'est tout.

en fait, je veut avoir la liste des mots de passe en text,
par ce que le mothode "d'authentification Digest" sous IIS
5.0 necessite que les mots de passe des utilisateurs soit
sous format text.
??????

Pourquoi ce "je veut avoir la liste des mots de passe en text"
Qu'entends tu par "je veut avoir" ?

Dans l'aide en ligne, je lis :

Authentification Digest

"L'authentification Digest offre les mêmes fonctionnalités
que l'authentification de base. Toutefois, l'authentification
Digest est plus sécurisée que l'authentification de base
car elle envoie les références de l'utilisateur sur le réseau
sous la forme d'un hachage MD5, connu également sous
le nom de message condensé, le nom d'utilisateur et le mot
de passe d'origine ne pouvant être déchiffrés à partir du
hachage. L'authentification Digest est accessible aux
répertoires WebDAV (Web Distributed Authoring and Versioning).

L'installation de logiciels client supplémentaires n'est pas
requise ; toutefois l'authentification Digest se base sur le
protocole HTTP 1.1 tel que défini dans la spécification RFC 2617
sur le site Web du World Wide Web Consortium.

L'authentification Digest se basant sur le protocole
HTTP 1.1, tous les navigateurs ne la prennent pas en
charge. Si un navigateur qui ne prend pas en charge le
protocole HTTP 1.1 demande un fichier situé sur un serveur
utilisant l'authentification Digest, le serveur demande au
client de lui fournir des références condensées.
Le client non compatible avec le protocole HTTP 1.1.
rejette la demande car il ne prend pas en charge
l'authentification Digest.

Exigences requises pour l'authentification Digest
Avant d'activer l'authentification Digest sur votre
serveur IIS, assurez-vous que toutes les exigences
minimales suivantes sont satisfaites.
Seuls les administrateurs de domaine peuvent vérifier
que les exigences du contrôleur de domaine sont satisfaites.
Effectuez les vérifications avec votre administrateur de
domaine si vous n'êtes pas certain que votre contrôleur
de domaine satisfait les exigences suivantes :

- Tous les clients qui accèdent à une ressource sécurisée
à l'aide de l'authentification Digest utilisent Internet
Explorer 5.0 ou une version ultérieure.

- L'utilisateur et le serveur IIS doivent être membres du
même domaine ou approuvés par ce même domaine.

- Les utilisateurs doivent posséder un compte d'utilisateur
Windows valide enregistré dans Active Directory sur le
contrôleur de domaine.

- Le domaine doit posséder un contrôleur de domaine
Windows 2000 ou version ultérieure.

- Le serveur IIS doit fonctionner sous Windows 2000 ou
version ultérieure.


Processus d'authentification du client
Les différentes étapes d'authentification d'un client
à l'aide de l'authentification Digest sont les suivantes :

- Le client demande un fichier situé sur le serveur IIS.

- Le serveur IIS refuse la demande et envoie les
informations suivantes au client :
- Authentification Digest en cours d'utilisation
- Nom de domaine

- Internet Explorer demande à l'utilisateur d'introduire
ses références (nom d'utilisateur et mot de passe).
Internet Explorer combine ensuite ces références
avec le nom de domaine afin de créer un hachage
MD5 et soumet à nouveau la demande de fichier
au serveur IIS, en envoyant cette fois le hachage MD5.

- Le serveur IIS reçoit le hachage du client et envoie
celui-ci au contrôleur de domaine pour vérification.

- Le contrôleur de domaine informe le serveur IIS
des résultats de l'authentification.

- Si le client est authentifié, IIS envoie le document
ou les données demandé au client.


Important
L'authentification Digest se termine uniquement si
le contrôleur de domaine possède une copie en texte
en clair enregistrée dans Active Directory du mot de
passe de l'utilisateur qui a effectué la demande.
Étant donné que le contrôleur de domaine enregistre
des copies en texte en clair des mots de passe,
Active Directory doit être sécurisé tant pour les
attaques physiques que réseau.


Je suppose que c'est à dernier point que tu fais allusion :

"...le contrôleur de domaine possède une copie en texte
en clair enregistrée dans Active Directory du mot de
passe ..."


Cela se configure par une stratégie :
Configuration ordinateur
Paramètres Windows
Stratégies de comptes
Stratégies de mot de passe
Stocker le mot de passe en utilisant le cryptage
réversible...

Activer cette stratégie


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org
http://www.bellamyjc.org Jean-Claude.Bellamy@wanadoo.fr *
JC.Bellamy@free.fr