6.3. Verwaltung der Benutzerpasswörter#
Schwer zu erratende Passwörter und regelmäßige Passwortwechsel sind ein wichtiger Baustein der Systemsicherheit einer UCS-Domäne. Folgende Eigenschaften lassen sich für Benutzer über eine Passwort-Richtlinie konfigurieren.
Wird Samba eingesetzt, greifen für Anmeldungen an Windows-Clients die Einstellungen des Samba-Domänenobjekts (siehe Passwort-Einstellungen für Windows-Clients bei Verwendung von Samba). Die Einstellungen des Samba-Domänenobjekts und der Richtlinie sollten identisch gesetzt werden, sonst greifen für Anmeldungen an Windows- und UCS-Systemen unterschiedliche Passwortanforderungen.
Für jeden im Managementsystem gespeicherten Benutzer wird das Passwort in verschiedenen Attributen gespeichert:
Das Attribut
krb5Key
speichert das Kerberos-Passwort.Das Attribut
userPassword
speichert das Unix-Passwort (das in anderen Linux-Distributionen in/etc/shadow
gespeichert wird).Das Attribut
sambaNTPassword
enthält den von Samba verwendeten NT-Passwort-Hash.
Passwortänderungen werden immer über Kerberos initiiert, entweder über die UCS-PAM-Konfiguration oder über Samba.
- Passworthistorie
Die Passworthistorie speichert die letzten Passwortänderungen in Form von Hashes. Diese Passwörter können dann vom Benutzer bei einer Änderung nicht als neues Passwort verwendet werden. Mit einer Passworthistorie von z.B. fünf müssten fünf neue Passwörter verwendet werden, bis ein Passwort erneut verwendet werden kann. Wenn keine Speicherung der Passwort-Historie erfolgen soll, muss der Wert auf
0
gesetzt werden.Die Passwörter werden nicht rückwirkend gespeichert. Wenn beispielsweise ursprünglich zehn Passwörter gespeichert wurden und der Wert auf drei herabgesetzt wird, werden die älteren sieben Passwörter bei der nächsten Passwort-Änderung aus der Historie entfernt. Wird danach die Historienlänge wieder erhöht, müssen erst wieder Passwörter angesammelt werden.
- Passwortlänge
Die Passwortlänge ist die Anzahl an Zeichen, die ein Benutzerpasswort mindestens enthalten muss. Wird nichts eintragen, beträgt die Mindestlänge acht Zeichen. Der Vorgabewert von acht Zeichen für die Passwort-Länge ist fest vorgegeben. Er gilt deswegen immer, wenn keine Richtlinie gesetzt ist und das Auswahlkästchen Passwort-Länge ignorieren nicht markiert ist, also auch, wenn die Passwort-Richtlinie default-settings gelöscht wurde.
Wenn keine Prüfung der Passwortlänge erfolgen soll, muss der Wert auf
0
gesetzt werden.Pro Server kann über die Univention Configuration Registry Variable
password/quality/length/min
ein Defaultwert konfiguriert werden, der auf Benutzerkonten angewendet wird, denen keine UDM Passwort-Richtlinie zugewiesen ist. Die Beschreibung der Univention Configuration Registry Variable enthält weitere Details.- Passwortablaufintervall
Ein Passwortablaufintervall forciert regelmäßige Passwortänderungen. Bei der Anmeldung an UCS Web-Oberflächen, Kerberos, Windows-Clients und an UCS-Systemen wird nach Ablauf des Intervalls in Tagen ein Passwortwechsel erzwungen. Die verbleibende Gültigkeit des Passworts wird in der Benutzerverwaltung unter Passwortablaufdatum im Reiter Konto angezeigt. Wird das Eingabefeld leer belassen, wird kein Passwortablaufintervall angewendet.
- Passwortqualitätsprüfung
Ist die Option Passwortqualitätsprüfung aktiviert, werden für Passwortänderungen in Samba, UCS Web-Oberflächen und Kerberos zusätzliche Prüfungen vorgenommen, die auch eine Wörterbuchprüfung beinhalten.
Die Konfiguration erfolgt über Univention Configuration Registry und sollte auf allen Anmeldeservern erfolgen. Folgende Prüfungen können erzwungen werden:
Die Mindestanzahl von Zahlen in dem neuen Passwort (
password/quality/credit/digits
).Die Mindestanzahl von Grossbuchstaben in dem neuen Passwort (
password/quality/credit/upper
).Die Mindestanzahl von Kleinbuchstaben in dem neuen Passwort (
password/quality/credit/lower
).Die Mindestanzahl von Zeichen in dem neuen Passwort, die keine Buchstaben oder Ziffern sind (
password/quality/credit/other
).Einzelne Zeichen/Ziffern können ausgeschlossen werden (
password/quality/forbidden/chars
).Einzelne Zeichen/Ziffern können erzwungen werden (
password/quality/required/chars
).Standard-Microsoft-Passwortkomplexitätskriterien können angewendet werden (
password/quality/mspolicy
). Dies kann entweder zusätzlich zu denpython-cracklib
Checks geschehen (Wertyes
) oder statt dessen (sufficient
). Die Beschreibung der Univention Configuration Registry Variable enthält weitere Details.