Changer le mot de passe d'un user hors domaine

Dev
1

Pour ne pas pourrir l’autre thread, je réexpose mon problème ici même.

Alors voila déjà, la source de mon problème : j’ai des utilisateurs hors du domaine (parceque la stratégie de la boite était “windows suxx, pour les partages et les applis, on fait du novell, et si les mecs veulent se mettre dans un domaine NT ils vont en chier”). Donc on a les utilisateurs d’un coté, dans aucun domaine NT/2000, et les serveurs de l’autre dans un (ou plusieurs) domaines Windows 2000 (mode natif).
Résultat : les mecs qui utilisent des partages réseau sur les serveurs, quand leur mot de passe du domaine expire, bin ils peuvent pas le changer… faudrait leur donner un accès sur un serveur TSE ou un truc du style, mais ca serait n’importe quoi.

2 solutions ont étés trouvées : La première : faire un site web depuis lequel n’importe quel user peut changer le mot de passe. Le site est en https (evidemment) et utilise de l’asp.

problème : si on pirate mon site, on peut modifier l’asp pour loguer les mots de passes des users (bouuuuuuh, c’est nuuuuul, je sais); surtout que des personnes d’un autre domaine (dont je n’ai pas le controle) utilisent aussi ce site pour modifier les mots de passe. De toutes façon, autre domaine ou pas, ca n’est pas propre !

Seconde solution : faire un fichier .hta que les utilisateurs lancent de leur poste (qui n’est pas dans le domaine, donc) pour modifier leur mot de passe.

problème : cela ne marche pas si le domaine a été configuré en “y’a aucun serveurs NT4”, puisque les méthodes getObject(WinNT://) ou getObject(LDAP://) sans authentification ne marchent pas… hors l’authentification est impossible, puisque le mot de passe est expiré (hahahaha). La encore, un WorkAround dégueulasse existe : créer un compte bidon, ne faisant parti que d’un groupe non référencé (donc, il fera parti des groupes “Groupe Bidon”, “Authenticated Users”, et “Everyone”). Mais ca ne me plait pas.

bref… quelqu’un a une idée ? (Glop ?) 

2

Si vous êtes sur Novell, vous utilisez surement le client Novell…
Je vois pas ce qui vous empêche de vous logger sur un Tree NDS et sur un Domaine NT/2000 en même temps.
Perso c’est ce que je fais tous les jours au boulot.

Au login, si le username ou password NT/w2k est différent de celui sur le Tree NDS, l’utilisateur aura une deuxième fenêtre de login à remplir(celle du domaine en fait)

Sinon, si vous voulez réellement implanter une solution parfaite, je ne peux que te conseiller de lorgner du coté de DirXML qui permet de synchroniser des accounts NDS avec d’autres databases ou directory de users.
Il permet de synchroniser data et pswd entre NDS et NT domain ou Active Directory sans aucuns problèmes.

http://www.novell.com/products/nsureidentitymanager/

3

oui, mais là où c’est marrant, c’est qu’ils ont bridé comme des porcs.
Ma machine est dans le domaine et dans Novell, mais si je me connecte novell (même si je précise dans un autre onglet Domaine : MONDOMAINE), et bien rien à foutre, il me connecte sur mon user local comme un gros enf***é.
(oui, y’a un pur anti-crosoftien chez les équipes novell, et c’est le chef. Oui, ce sont des cons… mais faut faire avec pour l’instant)

Les users pourraient utiliser “workstation only” pour se connecter d’abord dans le domaine puis, seulement, dans novell; mais la sécurité ne veut pas car les patchs passent par novell et que les utilisateurs pourraient ne pas se connecter novell

pas facile ma vie hein ?
vu la motivation et la position des gars de l’équipe novell dans la boite vis à vis de microsoft, j’aimerai autant que la solution n’ai pas à faire avec eux (Y’avait une étude, à une époque, pour utiliser dirXML… ca fait déjà 6 mois qu’elle a été lancée… mais non ils freinent pas des 4 fers, mauvaises langues)