Session sans mot de passe.

Jo et jo · Le 21/03/2021, à 13:40

Bonjour,

J'utilise ubuntu avec KDE et je souhaite paramétrer une sessions utilisateur sans mot de passe. C'est normalement possible avec l'outil Utilisateurs et groupes. Il m'autorise à changer de mot de passe et à générer un mot de passe au hasard, mais la case "sans mot de passe" des griser et je ne peux pas la sélectionner. Comment faire ?

Merci, bonne journée

gascon · Le 21/03/2021, à 19:18

Salut, regarde de ce coté en lisant bien les avertissements :
https://doc.ubuntu-fr.org/desactiver_mots_de_passe

Jo et jo · Le 21/03/2021, à 19:23

J'ai déjà essayer, ça n'a pas fonctionner, malheureusement.
Merci tout de même

gascon · Le 21/03/2021, à 19:36

Que retourne la commande

sudo passwd -d nom_compte

est tu sur que tu as configurer l'utilisateur en normal et pas administrateur ?

Jo et jo · Le 21/03/2021, à 21:31

La commande retourne

sudo passwd -d public
passwd : expiration du mot de passe modifiée.

Et oui le le compte est bien défini en utilisateur normal

jplemoine · Le 21/03/2021, à 23:22

La commande fait bien ce qu'on lui a demandé : on fait expirer le mot de passe immédiatement sans période de grâce.
il n'est plus possible d'utiliser la méthode "mot de passe" pour se connecter : il faut utiliser une autre méthode. Par exemple, un échange de clés.

gascon · Le 21/03/2021, à 23:49

Expirer me semble pas vouloir dire permettre de se connecter sans mot de passe. Tu as une solution ?
Si il enlève le hash dans /etc/shadow ou autre sa marcherais ?

jplemoine · Le 22/03/2021, à 00:39

gascon a écrit :

Expirer me semble pas vouloir dire permettre de se connecter sans mot de passe.

On est d'accord. Et la solution est de se connecter via un échange de clés.
En fait, le poste client va demander une connexion avec échange de clé en envoyant sa clé publique.
- Le serveur n'a pas sa clé publique dans sa liste de clés autorisées --> il refuse la connexion
- Le serveur a pas sa clé publique dans sa liste de clés autorisées --> il envoie un "challenge"
- Le client revoit le "challenge" en le codant avec sa clé privée correspondant à la clé publique précédemment envoyée
- Le serveur compare la réponse (en l'ayant décodée grâce à la clé publique) avec le "challenge"
- Ce n'est pas la même chose, il refuse la connexion
- C'est la même chose : il autorise la connexion.

Là, le client et le serveur sont la même machine. On peut alors utiliser pamusb (et une clé USB où stocké les clés pour avoir un minimum de sécurité).
- Il y a la clé --> pas de demande de mot de passe
- il n'y a pas la clé --> demande de mot de passe (au cas où... )
Mais attention : si on supprime la demande de mot de passe :
- tous les "malwares" vont pouvoir passer
- le jour où il y en aura besoin (clé cassée, perdue, problème de disque), si on a oublié le mot de passe, c'est chaud à rattraper.

gascon · Le 22/03/2021, à 12:40

Ok je crois que pas c'est vraiment ça qu'il demande mais c'est une solution intéressante.
En solution détourner il y a aussi la connexion automatique.

Bon j'ai testé la technique /etc/shadow fonctionne.
J'ai créé un nouvel utilisateur "test" depuis "compte utilisateur" sans définir de mot de passe. Il apparaissait comme ceci sans pouvoir se logguer dessus:

test:!:::::::

J'ai modifier comme ceci :

test::::::::

et après ma première connexion c'est devenu :

test::18708:0:99999:7:::

Dernière modification par gascon (Le 22/03/2021, à 19:21)

Jo et jo · Le 22/03/2021, à 18:52

Merci beaucoup,
Comment fonctionne la technique en modifiant etc/shadow, je saisis mal ?

gascon · Le 22/03/2021, à 19:20

Les dernière ligne du fichier sont les utilisateurs du système :

utilisateur1:hash du mot de passe:chiffre:0:99999:7:::
utilisateur2:hash du mot de passe:chiffre:0:99999:7:::

tu peu visualisé le fichier avec

cat /etc/shadow

Il faut édité le fichier en mode administrateur comme tu en as l’habitude et supprimer le "hash du mot de passe" ou le"!" si tu viens créer l'utilisateur.

Jo et jo · Le 24/03/2021, à 18:34

J'ai donc essayé, mais cela n'a point marché.
J'ai bien supprimé le hash. Mais lorsque que j'essaye de me connecter à cette session sans mot de passe (Je clique directement sur entrer sans rentrer quoi que ce soit dans la barre de mot de passe) j'obtiens le message "échec de l'authentification"...
Des idées ? Je fais quelque chose de mal ?

gascon · Le 24/03/2021, à 19:01

tu peu montrer la ligne que tu a modifié ?

Jo et jo · Le 24/03/2021, à 19:13

La voici :

public::18708:0:99999:7:::

gascon · Le 24/03/2021, à 19:27

Mon ordi est sous gnome/unity. Lorsque je me connecte a "test" il m’affiche directement se connecter a la place du champ mots de passe.
Est ce que c'est la même session ou tu as fait les autre test. Peut être supprime là et recréer la et fait la modif avant la première connexion comme moi.
Ce pc a une autre session ? avec aucun soucis pour se connecter dessus ?

Dernière modification par gascon (Le 24/03/2021, à 19:31)

Jo et jo · Le 24/03/2021, à 20:42

Cela ne marche pas non plus. C'est peut-être lié au fait que j'utilise KDE ?

gascon · Le 24/03/2021, à 21:49

C'est pas kde ou gnome qui gère ça mais il on chacun un gestionnaire de connexion propre. Je ne m'y connais pas asses, mais je pense qu'il doit manquer quelque chose de pas plus compliquer, c'est forcément un paramétre quelque par qu'on ignore.
Je suis retourner voir le

man de passwd a écrit :

-d, --delete
Supprimer le mot de passe (le rendre vide) d'un utilisateur. C'est
une façon rapide de supprimer l'authentification par mot de passe
pour un compte. Il rend le compte indiqué sans mot de passe.

man de passwd a écrit :

FICHIERS
/etc/passwd
Informations sur les comptes des utilisateurs.
/etc/shadow
Informations sécurisées sur les comptes utilisateurs.
/etc/pam.d/passwd
Configuration de PAM pour passwd.
VOIR AUSSI
chpasswd(8), passwd(5), shadow(5), usermod(8).

Du coup je me pose une question. Je cré un utilisateur "public", je clique sur "compte désactivé", il me propose :
- "activer ce compte" -> ne marche pas sans mot de passe
- "définir mot de passe maintenant" -> refuse mot de passe simple, demande un truc bien chiant, fonctionne avec mot de passe evidement
- "connexion sans mot de passe" -> fonctionne
je remet un mot de passe

user@machine:~$ sudo cat /etc/shadow
...
test::18708:0:99999:7:::
public:$6$viuaCXoma9orVxvU$fUplOXC0QOFYuFJxbjUafarOgtKrnoAVKXI6pGMH87AF3LIfS1NATA8j5aidRD.ES/ni5u3SCd6Iv.nrqN4pv1:18710:0:99999:7:::

user@machine:~$ sudo passwd -d public
passwd : expiration du mot de passe modifiée.

Dans mon gestionnaire graphique de compte il repasse sur mot de passe "aucun" et SA FONCTIONNE! :

test::18708:0:99999:7:::
public::18710:0:99999:7:::

Du coup je il faudrait sans doute chercher quel est le gestionnaire de connexion de ton kde, et chercher ensuite la solution spécifique, peut être en anglais. Ya quand même une chose : tu as copié le chiffre sur mon retour ? car tu as 18708 comme moi et normalement sa correspond a la date du dernier changement de mot de passe tu ne devrais pas avoir pareil ! Sinon je serai curieux de comparer avec toi :

user@machine:~$ sudo cat /etc/passwd
...
test:x:1002:1002:test,,,:/home/test:/bin/bash
public:x:1003:1003:public,,,:/home/public:/bin/bash

user@machine:~$ sudo cat /etc/pam.d/passwd
#
# The PAM configuration file for the Shadow `passwd' service
#

@include common-password

user@machine:~$ sudo passwd -S public
public NP 03/24/2021 0 99999 7 -1

user@machine:~$ cat /etc/login.defs
#
# /etc/login.defs - Configuration control definitions for the login package.
#
# Three items must be defined:  MAIL_DIR, ENV_SUPATH, and ENV_PATH.
# If unspecified, some arbitrary (and possibly incorrect) value will
# be assumed.  All other items are optional - if not specified then
# the described action or option will be inhibited.
#
# Comment lines (lines beginning with "#") and blank lines are ignored.
#
# Modified for Linux.  --marekm

# REQUIRED for useradd/userdel/usermod
#   Directory where mailboxes reside, _or_ name of file, relative to the
#   home directory.  If you _do_ define MAIL_DIR and MAIL_FILE,
#   MAIL_DIR takes precedence.
#
#   Essentially:
#      - MAIL_DIR defines the location of users mail spool files
#        (for mbox use) by appending the username to MAIL_DIR as defined
#        below.
#      - MAIL_FILE defines the location of the users mail spool files as the
#        fully-qualified filename obtained by prepending the user home
#        directory before $MAIL_FILE
#
# NOTE: This is no more used for setting up users MAIL environment variable
#       which is, starting from shadow 4.0.12-1 in Debian, entirely the
#       job of the pam_mail PAM modules
#       See default PAM configuration files provided for
#       login, su, etc.
#
# This is a temporary situation: setting these variables will soon
# move to /etc/default/useradd and the variables will then be
# no more supported
MAIL_DIR        /var/mail
#MAIL_FILE      .mail

#
# Enable logging and display of /var/log/faillog login failure info.
# This option conflicts with the pam_tally PAM module.
#
FAILLOG_ENAB		yes

#
# Enable display of unknown usernames when login failures are recorded.
#
# WARNING: Unknown usernames may become world readable. 
# See #290803 and #298773 for details about how this could become a security
# concern
LOG_UNKFAIL_ENAB	no

#
# Enable logging of successful logins
#
LOG_OK_LOGINS		no

#
# Enable "syslog" logging of su activity - in addition to sulog file logging.
# SYSLOG_SG_ENAB does the same for newgrp and sg.
#
SYSLOG_SU_ENAB		yes
SYSLOG_SG_ENAB		yes

#
# If defined, all su activity is logged to this file.
#
#SULOG_FILE	/var/log/sulog

#
# If defined, file which maps tty line to TERM environment parameter.
# Each line of the file is in a format something like "vt100  tty01".
#
#TTYTYPE_FILE	/etc/ttytype

#
# If defined, login failures will be logged here in a utmp format
# last, when invoked as lastb, will read /var/log/btmp, so...
#
FTMP_FILE	/var/log/btmp

#
# If defined, the command name to display when running "su -".  For
# example, if this is defined as "su" then a "ps" will display the
# command is "-su".  If not defined, then "ps" would display the
# name of the shell actually being run, e.g. something like "-sh".
#
SU_NAME		su

#
# If defined, file which inhibits all the usual chatter during the login
# sequence.  If a full pathname, then hushed mode will be enabled if the
# user's name or shell are found in the file.  If not a full pathname, then
# hushed mode will be enabled if the file exists in the user's home directory.
#
HUSHLOGIN_FILE	.hushlogin
#HUSHLOGIN_FILE	/etc/hushlogins

#
# *REQUIRED*  The default PATH settings, for superuser and normal users.
#
# (they are minimal, add the rest in the shell startup files)
ENV_SUPATH	PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
ENV_PATH	PATH=/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

#
# Terminal permissions
#
#	TTYGROUP	Login tty will be assigned this group ownership.
#	TTYPERM		Login tty will be set to this permission.
#
# If you have a "write" program which is "setgid" to a special group
# which owns the terminals, define TTYGROUP to the group number and
# TTYPERM to 0620.  Otherwise leave TTYGROUP commented out and assign
# TTYPERM to either 622 or 600.
#
# In Debian /usr/bin/bsd-write or similar programs are setgid tty
# However, the default and recommended value for TTYPERM is still 0600
# to not allow anyone to write to anyone else console or terminal

# Users can still allow other people to write them by issuing 
# the "mesg y" command.

TTYGROUP	tty
TTYPERM		0600

#
# Login configuration initializations:
#
#	ERASECHAR	Terminal ERASE character ('\010' = backspace).
#	KILLCHAR	Terminal KILL character ('\025' = CTRL/U).
#	UMASK		Default "umask" value.
#
# The ERASECHAR and KILLCHAR are used only on System V machines.
# 
# UMASK is the default umask value for pam_umask and is used by
# useradd and newusers to set the mode of the new home directories.
# 022 is the "historical" value in Debian for UMASK
# 027, or even 077, could be considered better for privacy
# There is no One True Answer here : each sysadmin must make up his/her
# mind.
#
# If USERGROUPS_ENAB is set to "yes", that will modify this UMASK default value
# for private user groups, i. e. the uid is the same as gid, and username is
# the same as the primary group name: for these, the user permissions will be
# used as group permissions, e. g. 022 will become 002.
#
# Prefix these values with "0" to get octal, "0x" to get hexadecimal.
#
ERASECHAR	0177
KILLCHAR	025
UMASK		022

#
# Password aging controls:
#
#	PASS_MAX_DAYS	Maximum number of days a password may be used.
#	PASS_MIN_DAYS	Minimum number of days allowed between password changes.
#	PASS_WARN_AGE	Number of days warning given before a password expires.
#
PASS_MAX_DAYS	99999
PASS_MIN_DAYS	0
PASS_WARN_AGE	7

#
# Min/max values for automatic uid selection in useradd
#
UID_MIN			 1000
UID_MAX			60000
# System accounts
#SYS_UID_MIN		  100
#SYS_UID_MAX		  999

#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN			 1000
GID_MAX			60000
# System accounts
#SYS_GID_MIN		  100
#SYS_GID_MAX		  999

#
# Max number of login retries if password is bad. This will most likely be
# overriden by PAM, since the default pam_unix module has it's own built
# in of 3 retries. However, this is a safe fallback in case you are using
# an authentication module that does not enforce PAM_MAXTRIES.
#
LOGIN_RETRIES		5

#
# Max time in seconds for login
#
LOGIN_TIMEOUT		60

#
# Which fields may be changed by regular users using chfn - use
# any combination of letters "frwh" (full name, room number, work
# phone, home phone).  If not defined, no changes are allowed.
# For backward compatibility, "yes" = "rwh" and "no" = "frwh".
# 
CHFN_RESTRICT		rwh

#
# Should login be allowed if we can't cd to the home directory?
# Default in no.
#
DEFAULT_HOME	yes

#
# If defined, this command is run when removing a user.
# It should remove any at/cron/print jobs etc. owned by
# the user to be removed (passed as the first argument).
#
#USERDEL_CMD	/usr/sbin/userdel_local

#
# Enable setting of the umask group bits to be the same as owner bits
# (examples: 022 -> 002, 077 -> 007) for non-root users, if the uid is
# the same as gid, and username is the same as the primary group name.
#
# If set to yes, userdel will remove the user´s group if it contains no
# more members, and useradd will create by default a group with the name
# of the user.
#
USERGROUPS_ENAB yes

#
# Instead of the real user shell, the program specified by this parameter
# will be launched, although its visible name (argv[0]) will be the shell's.
# The program may do whatever it wants (logging, additional authentification,
# banner, ...) before running the actual shell.
#
# FAKE_SHELL /bin/fakeshell

#
# If defined, either full pathname of a file containing device names or
# a ":" delimited list of device names.  Root logins will be allowed only
# upon these devices.
#
# This variable is used by login and su.
#
#CONSOLE	/etc/consoles
#CONSOLE	console:tty01:tty02:tty03:tty04

#
# List of groups to add to the user's supplementary group set
# when logging in on the console (as determined by the CONSOLE
# setting).  Default is none.
#
# Use with caution - it is possible for users to gain permanent
# access to these groups, even when not logged in on the console.
# How to do it is left as an exercise for the reader...
#
# This variable is used by login and su.
#
#CONSOLE_GROUPS		floppy:audio:cdrom

#
# If set to "yes", new passwords will be encrypted using the MD5-based
# algorithm compatible with the one used by recent releases of FreeBSD.
# It supports passwords of unlimited length and longer salt strings.
# Set to "no" if you need to copy encrypted passwords to other systems
# which don't understand the new algorithm.  Default is "no".
#
# This variable is deprecated. You should use ENCRYPT_METHOD.
#
#MD5_CRYPT_ENAB	no

#
# If set to MD5 , MD5-based algorithm will be used for encrypting password
# If set to SHA256, SHA256-based algorithm will be used for encrypting password
# If set to SHA512, SHA512-based algorithm will be used for encrypting password
# If set to DES, DES-based algorithm will be used for encrypting password (default)
# Overrides the MD5_CRYPT_ENAB option
#
# Note: It is recommended to use a value consistent with
# the PAM modules configuration.
#
ENCRYPT_METHOD SHA512

#
# Only used if ENCRYPT_METHOD is set to SHA256 or SHA512.
#
# Define the number of SHA rounds.
# With a lot of rounds, it is more difficult to brute forcing the password.
# But note also that it more CPU resources will be needed to authenticate
# users.
#
# If not specified, the libc will choose the default number of rounds (5000).
# The values must be inside the 1000-999999999 range.
# If only one of the MIN or MAX values is set, then this value will be used.
# If MIN > MAX, the highest value will be used.
#
# SHA_CRYPT_MIN_ROUNDS 5000
# SHA_CRYPT_MAX_ROUNDS 5000

################# OBSOLETED BY PAM ##############
#						#
# These options are now handled by PAM. Please	#
# edit the appropriate file in /etc/pam.d/ to	#
# enable the equivelants of them.
#
###############

#MOTD_FILE
#DIALUPS_CHECK_ENAB
#LASTLOG_ENAB
#MAIL_CHECK_ENAB
#OBSCURE_CHECKS_ENAB
#PORTTIME_CHECKS_ENAB
#SU_WHEEL_ONLY
#CRACKLIB_DICTPATH
#PASS_CHANGE_TRIES
#PASS_ALWAYS_WARN
#ENVIRON_FILE
#NOLOGINS_FILE
#ISSUE_FILE
#PASS_MIN_LEN
#PASS_MAX_LEN
#ULIMIT
#ENV_HZ
#CHFN_AUTH
#CHSH_AUTH
#FAIL_DELAY

################# OBSOLETED #######################
#						  #
# These options are no more handled by shadow.    #
#                                                 #
# Shadow utilities will display a warning if they #
# still appear.                                   #
#                                                 #
###################################################

# CLOSE_SESSIONS
# LOGIN_STRING
# NO_PASSWORD_CONSOLE
# QMAIL_DIR

Dernière modification par gascon (Le 24/03/2021, à 21:53)

Jo et jo · Le 26/03/2021, à 18:36

Non je n'ai pas copié les chiffres sur ton retour, ça doit être le hasard.
Merci de ton aide en tout cas ! Beaucoup !
Tout cela commence à devenir compliqué, je vais tout simplement mettre un mot de passe simple avec un post-it.
Mais merci de ton aide !

gascon · Le 26/03/2021, à 18:51

Oui désolé. Dommage que la sessions invité n'existe plus sa aurai sans doute répondu a ton besoin.
Regarde quand même connexion automatique dans #9

Dernière modification par gascon (Le 26/03/2021, à 18:53)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/03/2021, à 13:40

Session sans mot de passe.

#2 Le 21/03/2021, à 19:18

Re : Session sans mot de passe.

#3 Le 21/03/2021, à 19:23

Re : Session sans mot de passe.

#4 Le 21/03/2021, à 19:36

Re : Session sans mot de passe.

#5 Le 21/03/2021, à 21:31

Re : Session sans mot de passe.

#6 Le 21/03/2021, à 23:22

Re : Session sans mot de passe.

#7 Le 21/03/2021, à 23:49

Re : Session sans mot de passe.

#8 Le 22/03/2021, à 00:39

Re : Session sans mot de passe.

#9 Le 22/03/2021, à 12:40

Re : Session sans mot de passe.

#10 Le 22/03/2021, à 18:52

Re : Session sans mot de passe.

#11 Le 22/03/2021, à 19:20

Re : Session sans mot de passe.

#12 Le 24/03/2021, à 18:34

Re : Session sans mot de passe.

#13 Le 24/03/2021, à 19:01

Re : Session sans mot de passe.

#14 Le 24/03/2021, à 19:13

Re : Session sans mot de passe.

#15 Le 24/03/2021, à 19:27

Re : Session sans mot de passe.

#16 Le 24/03/2021, à 20:42

Re : Session sans mot de passe.

#17 Le 24/03/2021, à 21:49

Re : Session sans mot de passe.

#18 Le 26/03/2021, à 18:36

Re : Session sans mot de passe.

#19 Le 26/03/2021, à 18:51

Re : Session sans mot de passe.

Pied de page des forums