Archives de catégorie : FAQ authentification

Impossible de récupérer mon certificat avec Firefox

Depuis la version 54 de Firefox un problème est apparu lors de la récupération du certificat, suite à un renouvellement ou à une nouvelle demande.

Concrètement lorsque vous cliquez sur le lien il ne se passe rien (alors que normalement le certificat devrait être chargé dans le navigateur)

Pour contourner le problème suite à la réception du  mail "Votre de demande de certificat" (avec le lien pour télécharger le certificat) , au lieu de cliquer sur le lien (mais cela fonctionne également si le lien a déjà été cliqué):

  • Sur le navigateur qui a fait la demande de certificat, aller sur la page:

https://igc.services.cnrs.fr/search_user_certificate/?CA=CNRS2-Standard&lang=fr&body=search_user.html pour un certificat CNRS2-standard

  • Rechercher le certificat par le nom de l'utilisateur (donc le vôtre!)
  • Utiliser la fonction "Sauvegarder dans un fichier" et enregistrer le fichier (le nom du fichier sauvegardé est le numéro de série du certificat qui est également présent dans le mail "Votre de demande de certificat").
  • Aller dans les options du navigateur : Options(pc) ou Preferences(Mac) > Avancé > Certificats > Afficher les certificats
    • Dans l'onglet "Vos certificats", cliquer sur le bouton "Importer..."
    • Choisir l'extension "Fichier de certificat (*.p7b;*.crt;*.cert;*.cer;*.pem;*.der)"
    • Retrouver le fichier téléchargé .crt précédemment et cliquer sur "Ouvrir"
    • Normalement ...le certificat est importé!
    • Une fois votre certificat .crt importé dans votre navigateur, sauvegarder le au format .p12 :
  • selectionner le certificat
  • clic sur sauvegarder
  • entrer un nom de fichier sous lequel il sera sauvegarder, le type de fichier est .p12
  • choisir un mot de passe de sauvegarde. Ce mot de passe protège votre fichier.
  • copier votre "certificat.p12" sur votre espace sauvegardé

Blocage de votre compte après un changement de mot de passe

Après un changement de votre mot de passe LAL, si vous avez un client de messagerie installé sur votre smartphone (ou tablette), il se peut que votre compte se retrouve bloqué. Il ne vous sera alors plus possible de vous connecter à aucun service du LAL (ssh, mail, session Windows...) pendant 1h. Seules vos sessions déjà ouvertes pourront être utilisées. En cas d'urgence, contacter le service informatique pour débloquer votre compte, après avoir fait le nécessaire, comme expliqué ci-dessous.

Le problème est causé par certains clients de messageries (ou dans certains cas d'anciennes versions de ces clients) IOS et Android qui réessaye de se connecter jusqu'au blocage, en cas d'erreur d'authentification (inévitable après un changement de mot de passe s'il a été enregisré). Le blocage du compte après un certain nombre de tentatives de connexion infructueuses est une protection contre le piratage des mots de passe : sans cela, une personne (ou un robot) pourrait essayer tranquillement pendant des jours tous les mots de passe possibles jusqu'à trouver le bon. Normalement, les bons clients ne réessayent pas une connexion après une erreur d'authentification mais vous demandent de confirmer/changer votre mot de passe (comme le fait Thunderbird par exemple).

Si par malchance votre client préféré n'a pas un fonctionnement correct, pour éviter ou limiter le risque du problème, vous pouvez essayer la procédure suivante :

  • Démarrer votre client avant de changer votre mot de passe
  • Mettre le téléphone en mode avion
  •  Changer votre mot de passe
  • Aller dans les préférences du client, supprimer le mot de passe enregistré ou si cela n'est pas possible, lancer la procédure de changement du mot de passe enregistré pour le compte. Attendre que le changement échoue, faute de connexion.
  • Sortir le téléphone du mode avion
  • Cliquer sur le bouton qui permet de retenter le changement de mot de passe

Sur Android, les clients dont nous avons testé qu'ils ont un comportement corrects sont :

  • Aquamail
  • Gmail

J'ai reçu un mail indiquant que mon compte va expirer, que faire ?

Les personnels non permanents travaillant au LAL disposent en général d'un compte informatique avec une date d'expiration. Quelques semaines avant cette date ils vont commencer à recevoir régulièrement un mail automatique avec le sujet suivant :

AUTOMATIC MESSAGE: your LALs account expires soon

Pour prolonger la durée d'un compte qui s'approche de sa date d'expiration, contactez le service informatique (inutile de répondre à ce mail qui est automatique )

Quelle est la politique de sécurité des mots de passe ?

Afin de sécuriser au mieux les accès aux données, il existe différentes règles pour constituer un mot de passe "robuste". ces règles sont précises et imposées par le système (qui n'acceptera pas qu'on ne les suive pas !) :

  • 8 caractères minimum
  • Ne pas utiliser de mot  (ou des parties importantes de mot) du dictionnaire
  • ne pas mettre de nom ou de prénom
  • Mélanger des lettres, des chiffres, des caractères spéciaux ($*&@(...) : avoir au moins un chiffre ET un caractère "spécial" ($, #, etc...) ET une lettre.

Exemples de mots de passe conformes:  M1nmot$epass, A*@&#2012, $Tr1uver
Exemples de mots de passe non conformes:  Monmot$epass, 123Valerie, $12Toto

Comment changer son mot de passe LAL ?

Vous disposez d'un mot de passe unique qui vous permet d'accéder aux ressources du LAL. La durée de validité du mot de passe est de un an: 2 mois avant la date d'expiration de votre mot de passe vous recevrez un mail vous informant que la date d'expiration approche et que vous devez le changer.

Pour le changer la méthode diffère, selon que vous travaillez sous Windows, Linux ou Mac. Évidemment  il faut connaitre son mot de passe pour pouvoir le changer...).

Votre mot de passe doit être conforme à la politique de sécurité du LAL:  comporter au minimum 8 caractères, avoir au moins un chiffre ET un caractère "spécial" ($, #, etc...) ET une lettre (majuscule et/ou minuscule).
Pour des raisons de sécurité, il n'est possible de changer son mot de passe qu'une seule fois par jour. Les autres tentatives échoueront.

PC sous Windows depuis le réseau filaire du LAL

Faire CTRL, ALT, SUPPR (saisir le mot de passe actuel, puis le nouveau, que le système demande de confirmer)

PC sous Windows en wifi ou dehors du réseau LAL

Le plus simple est de vous connecter à wincenter2.lal.in2p3.fr.  Utiliser le client RDP (application Connexion Bureau à distance de Windows):

wincenter2

ATTENTION!!

il faut donner le nom complet de la machine: wincenter2.lal.in2p3.fr

Il faut également préciser le domaine du compte en tapant au login: lal\nom_d'utilisateur (ici lal\givaudan)

 

 

Une fois connecté, aller dans le menu "Démarrer" (en bas à gauche) et cliquer sur "Sécurité Windows", puis sur "Modifier un mot de passe" et suivre les instructions.

mdp_wincenter2

Cette méthode est aussi utilisable sur un Mac sur lequel on a installé le client RDP.

PC sous Linux ou Mac

Vous devez vous connecter à un serveur à lx2.lal.in2p3.fr ou lx3.lal.in2p3.fr en SSH. Sur un Mac, utiliser l'application Terminal. La commande à utiliser pour se connecter est

ssh user@lx2.lal.in2p3.fr

en remplaçant 'user' par votre nom d'utilisateur (par exemple 'givaudan').

Une fois connecté, si on ne vous a pas demandé de changer votre mot de passe durant la connexion, utilisez la commande ad-passwd qui demande de saisir le mot de passe actuel, puis le nouveau, qu'il faudra confirmer (aucun caractère ne s'affiche à l'écran quand on entre les mots de passe).

badpasswdIci le nouveau mot de passe n'est pas correct (non conforme à la politique des mot de passe)

 

 

bad2Ici la confirmation du mot de passe n'est pas conforme au nouveau mot de passe.

 

chgtpasswdIci le changement est correct

 

 

Si avant le message "Password changed", l'invite qui était présente avant d'exécuter la commande ad-passwd (dans l'exemple "lx3/givaudan %") réapparait, c'est qu'une erreur s'est produite (voir ci-dessus) et que vous devez relancer la commande ad-passwd.

Une fois le mot de passe changé il faut penser à modifier certaines configurations si le mot de passe est enregistré pour ces dernières:

    • Mettre le nouveau mot de passe sur vos différents clients de messagerie le cas échéant (thunderbird, mail, ...)
    • Mettre le nouveau mot de passe sur votre client de connexion à distance (accès à xlabcenter2 par exemple), le cas échéant.
    • Mettre le nouveau mot de passe sur le client owncloud, le cas échéant
    • Pour l'accès au VPN sur une machine Windows, aller dans paramètres/Réseau et internet/ VPNLlal-VPN/options avancées et faire "effacer les informations de connexion" (lors de la 1ère connexion au VPN le système vous demandera de saisir votre login et le mdp préalablement changé)
    • Repasser votre téléphone en mode normal et saisir le nouveau de mot de passe sur le client de messagerie de votre téléphone, le cas échéant.

Quelques problèmes possibles

  • Blocage du client de messagerie sur votre Smartphone suite au changement de mot de passe.
  • Client de messagerie "MAIL" sur un mac: après avoir modifié le mot de passe via ssh ou sur wincenter2, il faut le modifier également dans les préférences du client mail (pour ceux qui l'utilisent), sans oublier de quitter l'application pour valider la modification.

Thunderbird se plaint de mon mot de passe, que faire ?

Vous avez peut-être changé votre mot de passe LAL. Ce mot de passe est aussi celui utilisé pour accéder au serveur de messagerie, ce dernier ne peut donc plus vous identifier. Vous pouvez rencontrer un message comme suit :

pb_auth_thunderbird

 

 

Il vous propose de Saisir un nouveau mot de passe, vous devez donc saisir le mot de passe que vous avez changé.

Comment vérifier mon mot de passe LAL ?

Il n'existe plus qu'un seul compte/mot de passe pour accéder aux serveurs Linux et Windows du LAL (hors site web et svn)

Si vous avez un doute sur le mot de passe de votre compte au LAL vous pouvez le vérifier en utilisant 2 méthodes:

1. En vous connectant sur un serveur linux (de groupe ou lx2.lal.in2p3.fr, lx3.lal.in2p3.fr) puis en tapant la commande ad-init et en saisissant ce que vous pensez être le mot de passe.

Dans cet exemple, le mot de passe tapé est correct :

verif-passwd

 

 

 

Dans cet autre exemple, il n'est pas correct (nous contacter rapidement pour l'obtenir) :

bad_passwd

 

 

 

2. En vous connectant sur le serveur Windows wincenter2.lal.in2p3.fr

Si vous y arrivez...c'est que vous connaissez votre mot de passe!

Comment vérifier si j'ai un compte sous Windows ?

Normalement toute personne ayant un compte au LAL possède un compte sous Windows. Si vous travailler sur un poste de travail windows ou si vous utilisez régulièrement wincenter2 vous le faite avec votre compte Windows... Donc vous en possédez bien un !

Si vous utiliser régulièrement le portail de helpdesk alors vous utilisez votre compte windows (sans le savoir peut-être...). Il en est de même si vous utilisez le service owncloud du LAL.

Si vous n'avez aucune idée de l’existence (ou du mot de passe associé) de ce compte alors merci de contacter le service informatique.