Verwaltung der Benutzerpasswörter

6.3. Verwaltung der Benutzerpasswörter#

Schwer zu erratende Passwörter und regelmäßige Passwortwechsel sind ein wichtiger Baustein der Systemsicherheit einer UCS-Domäne. Folgende Eigenschaften lassen sich für Benutzer über eine Passwort-Richtlinie konfigurieren.

Wird Samba eingesetzt, greifen für Anmeldungen an Windows-Clients die Einstellungen des Samba-Domänenobjekts (siehe Passwort-Einstellungen für Windows-Clients bei Verwendung von Samba). Die Einstellungen des Samba-Domänenobjekts und der Richtlinie sollten identisch gesetzt werden, sonst greifen für Anmeldungen an Windows- und UCS-Systemen unterschiedliche Passwortanforderungen.

Für jeden im Managementsystem gespeicherten Benutzer wird das Passwort in verschiedenen Attributen gespeichert:

  • Das Attribut krb5Key speichert das Kerberos-Passwort.

  • Das Attribut userPassword speichert das Unix-Passwort (das in anderen Linux-Distributionen in /etc/shadow gespeichert wird).

  • Das Attribut sambaNTPassword enthält den von Samba verwendeten NT-Passwort-Hash.

Passwortänderungen werden immer über Kerberos initiiert, entweder über die UCS-PAM-Konfiguration oder über Samba.

Konfiguration einer Passwort-Richtlinie

Abb. 6.6 Konfiguration einer Passwort-Richtlinie#

Passworthistorie

Die Passworthistorie speichert die letzten Passwortänderungen in Form von Hashes. Diese Passwörter können dann vom Benutzer bei einer Änderung nicht als neues Passwort verwendet werden. Mit einer Passworthistorie von z.B. fünf müssten fünf neue Passwörter verwendet werden, bis ein Passwort erneut verwendet werden kann. Wenn keine Speicherung der Passwort-Historie erfolgen soll, muss der Wert auf 0 gesetzt werden.

Die Passwörter werden nicht rückwirkend gespeichert. Wenn beispielsweise ursprünglich zehn Passwörter gespeichert wurden und der Wert auf drei herabgesetzt wird, werden die älteren sieben Passwörter bei der nächsten Passwort-Änderung aus der Historie entfernt. Wird danach die Historienlänge wieder erhöht, müssen erst wieder Passwörter angesammelt werden.

Passwortlänge

Die Passwortlänge ist die Anzahl an Zeichen, die ein Benutzerpasswort mindestens enthalten muss. Wird nichts eintragen, beträgt die Mindestlänge acht Zeichen. Der Vorgabewert von acht Zeichen für die Passwort-Länge ist fest vorgegeben. Er gilt deswegen immer, wenn keine Richtlinie gesetzt ist und das Auswahlkästchen Passwort-Länge ignorieren nicht markiert ist, also auch, wenn die Passwort-Richtlinie default-settings gelöscht wurde.

Wenn keine Prüfung der Passwortlänge erfolgen soll, muss der Wert auf 0 gesetzt werden.

Pro Server kann über die Univention Configuration Registry Variable password/quality/length/min ein Defaultwert konfiguriert werden, der auf Benutzerkonten angewendet wird, denen keine UDM Passwort-Richtlinie zugewiesen ist. Die Beschreibung der Univention Configuration Registry Variable enthält weitere Details.

Passwortablaufintervall

Ein Passwortablaufintervall forciert regelmäßige Passwortänderungen. Bei der Anmeldung an UCS Web-Oberflächen, Kerberos, Windows-Clients und an UCS-Systemen wird nach Ablauf des Intervalls in Tagen ein Passwortwechsel erzwungen. Die verbleibende Gültigkeit des Passworts wird in der Benutzerverwaltung unter Passwortablaufdatum im Reiter Konto angezeigt. Wird das Eingabefeld leer belassen, wird kein Passwortablaufintervall angewendet.

Passwortqualitätsprüfung

Ist die Option Passwortqualitätsprüfung aktiviert, werden für Passwortänderungen in Samba, UCS Web-Oberflächen und Kerberos zusätzliche Prüfungen vorgenommen, die auch eine Wörterbuchprüfung beinhalten.

Die Konfiguration erfolgt über Univention Configuration Registry und sollte auf allen Anmeldeservern erfolgen. Folgende Prüfungen können erzwungen werden: