6.3. Verwaltung der Benutzerpasswörter

Den meisten Internetnutzern fällt es schwer, das richtige Passwort zu wählen. Das Passwort ist der Schlüssel zum Zugriff auf Benutzerkonten, auch in einer UCS-Domäne. Schwer zu erratende Passwörter und regelmäßiger Wechsel der Passwörter sind ein wesentliches Element der Systemsicherheit einer UCS-Domäne. Um zu verhindern, dass Benutzer zu einfache Passwörter wählen, können Administratoren mehrere Eigenschaften in einer Passwortrichtlinie konfigurieren.

Dieser Abschnitt beschreibt, wie Sie Passwortrichtlinien definieren, z. B. eine Mindestlänge des Passworts und ein Zeitintervall für den Ablauf. UCS wendet die Passwortrichtlinie an, wenn Benutzer ihre Passwörter ändern.

UCS speichert das Benutzerpasswort für jeden Benutzer als Hash in verschiedenen Attributen des entsprechenden LDAP-Objekts des Benutzerkontos:

krb5Key:

speichert das Kerberos-Passwort.

userPassword:

speichert das Unix-Passwort. Andere Linux Distributionen speichern es in /etc/shadow.

sambaNTPassword:

speichert den von Samba verwendeten NT-Passwort-Hash.

Siehe auch

Sichere Passwörter erstellen von Bundesamt für Sicherheit in der Informationstechnik

für weitere Informationen und Tipps zur Erstellung eines sicheren und guten Passworts.

6.3.1. Arten von Passwortrichtlinien

UCS verfügt über mehrere Arten von Kennwortrichtlinieneinstellungen, die in diesem Abschnitt beschrieben sind. Welche Richtlinie gilt, hängt davon ab, wer die Passwortänderung durchführt und ob in der UCS-Domäne Samba über die App Active Directory Domain Controller installiert ist.

Passwortrichtlinie in UDM

Die Passwortrichtlinie ist eine UDM Richtlinie, die für die Änderung von Benutzerpasswörtern durch UMC-Module gilt, die ihrerseits UDM im Backend verwenden. Die Passwortrichtlinie gilt, wenn ein Administrator das Passwort eines Benutzers über UMC oder UDM ändert. Dies gilt auch, wenn ein Benutzer sein Passwort ändert und die UCS-Domäne kein Samba installiert hat.

UCS definiert eine Standard-Passwortrichtlinie. Passwortrichtlinieneinstellungen in UMC beschreibt die verfügbaren Einstellungen für die Passwortrichtlinie.

Sie können die Passwort-Qualitätsprüfung mit Univention Configuration Registry Variablen erweitern, wie in Passwortrichtlinieneinstellungen in UMC erwähnt.

Sie können zusätzliche Passwortrichtlinien erstellen und sie den Benutzerkonten im LDAP-Verzeichnisbaum zuweisen. Weitere Informationen über Richtlinien finden Sie unter Richtlinien.

Wichtig

Wenn Sie Samba installiert haben, entwerfen Sie die Einstellungen für die Passwortanforderungen der Benutzerpasswortrichtlinie so, dass sie mit dem Samba-Domänenobjekt identisch ist, wie in Passwort-Einstellungen für Windows-Clients bei Verwendung von Samba beschrieben.

Passwortrichtlinie für die Samba-Domäne

Wenn Sie Samba in Ihrer UCS-Domäne installiert haben, hat die Samba-Domäne eine eigene Passwortrichtlinie. UCS wendet die Samba-Passwortrichtlinie an, wenn ein Benutzer sein Passwort ändert, egal über welchen Dienst, über das Univention Portal, den User Self Service, Microsoft Windows oder Kerberos.

Um die Passwortrichtlinie für die Samba-Domäne zu konfigurieren, siehe Passwort-Einstellungen für Windows-Clients bei Verwendung von Samba.

Siehe auch

Installation von Samba

für weitere Informationen über die Installation von Samba.

Services für Windows

für allgemeine Informationen über die Services für Windows.

6.3.2. Ändern des Benutzerpassworts

Das Ändern des Benutzerpassworts hat folgende Auslöser:

1. Das System fordert den Benutzer auf, sein Passwort zu ändern, z. B. weil das Passwort sein Ablaufdatum erreicht hat.

2. Durch eine Einstellung am Benutzerkonto, fordert ein Administrator den Benutzer auf, sein Passwort bei der nächsten Anmeldung zu ändern.

3. Der Benutzer beschließt, sein Passwort zu ändern.

Wenn ein Benutzer sein Passwort ändern möchte, kann er dies auf folgende Weise tun:

Univention Portal

In jeder UCS-Domäne ist das Portal installiert. Um das Passwort zu ändern, gehen Sie wie folgt vor:

1. Melden Sie sich am Univention Portal an.

2. Navigieren Sie zum Benutzermenü. Es ist das „Burger-Menü“ in der oberen rechten Ecke.

3. Wählen Sie Benutzereinstellungen ‣ Ihr Passwort ändern aus.

4. Geben Sie Ihr aktuelles Passwort ein und setzen Sie ein neues Passwort. Geben Sie es erneut ein und bestätigen Sie es.

Benutzer Selbstverwaltung

Die Benutzer Selbstverwaltung ist eine eigene App im Univention App Center. Sie bietet einen direkten Link zur Passwortänderung, so dass Administratoren eine prominente Kachel im Univention Portal für die Passwortänderung hinzufügen können. Außerdem bietet die App eine Möglichkeit, das Passwort der Benutzer zurückzusetzen, wenn diese es vergessen haben.

Microsoft Windows

Benutzer können ihr Benutzerpasswort über ihren Microsoft Windows-Client ändern, der über Samba mit der UCS-Domäne verbunden ist.

Kerberos

Benutzer können ihr Benutzerpasswort über Clients ändern, die der UCS-Domäne über Kerberos beigetreten sind. Sie können die Standardfunktionen zur Änderung des Passworts dieser Clients verwenden.

Für weitere Informationen über die Einbindung von Ubuntu- und Linux-Systemen in eine UCS Domäne und die Integration mit Kerberos, siehe Extended domain services documentation [2].

6.3.3. Passwortrichtlinieneinstellungen in UMC

Mit den Einstellungen der Passwortrichtlinie in UMC können Administratoren die Mindestpasswortlänge, das Ablaufintervall und die Länge der Passworthistorie festlegen. Abb. 6.7 zeigt die Einstellungen der Passwortrichtlinie in UMC. Im Anschluss an die Abbildung finden Sie einen Referenz der verfügbaren Einstellungen.

Abb. 6.7 Konfiguration einer Passwortrichtlinie

Auf dem Reiter Allgemein einer Passwortwortrichtlinie können Sie die folgenden Einstellungen vornehmen.

Passworthistorie

Der Passworthistorie speichert die zuletzt verwendeten Passwort-Hashes. Die History Länge bestimmt die Länge der Historie, zum Beispiel, ob die Historie die letzten drei oder die letzten sieben Passwort-Hashes speichert. Benutzer können keine Passwörter aus der Passworthistorie wiederverwenden, um ein neues Passwort festzulegen. UCS speichert die Passwörter nicht rückwirkend.

Um die Überprüfung der Passworthistorie zu deaktivieren, setzen Sie den Wert auf 0.

Beispiel

Wenn UCS zehn Passwort-Hashes gespeichert hat und Sie den Wert für die Länge der Passworthistorie auf 3 reduzieren, löscht UCS bei der nächsten Passwortänderung die älteren sieben Passwörter aus der Passworthistorie. Wenn Sie dann die Länge der Passworthistorie vergrößern, bleibt die Anzahl der gespeicherten Passwörter bei drei und erhöht sich mit jeder Passwortänderung.

Passwortlänge

Die Passwortlänge ist die Mindestlänge in Zeichen, die ein Benutzerpasswort einhalten muss. Wenn Sie keinen Wert angeben, verwendet UCS die Mindestlänge von 8 Zeichen.

Der Standardwert gilt immer, wenn Sie keine Richtlinie festlegen und Sie das Kontrollkästchen Passwortprüfung außer Kraft setzen aktiviert haben. Das heißt, er gilt auch wenn Sie die Passwortrichtlinie Standard-Einstellungen gelöscht haben.

Um die Überprüfung der Passwortlänge zu deaktivieren, setzen Sie den Wert auf 0.

Sie können einen Standardwert pro UCS-System über die Univention Configuration Registry Variable password/quality/length/min konfigurieren. Die Einstellung gilt für Benutzer, die nicht einer UDM-Passwortrichtlinie unterliegen.

Passwortablaufintervall

Ein Passwort-Ablaufintervall verlangt regelmäßige Passwortänderungen. UCS verlangt von einem Benutzer, dass er sein Passwort bei der Anmeldung an der UCS Web-Oberfläche, an Kerberos, und an UCS-Systemen ändert, wenn das Ablaufintervall verstrichen ist. UCS zeigt die Restlaufzeit des Benutzerpassworts im Benutzerverwaltungsmodul unter Passwortablaufdatum im Reiter Konto an.

Um das Passwort-Ablaufintervall zu deaktivieren, lassen Sie den Wert leer.

Passwortqualitätsprüfung

Wenn Sie die Option Passwortqualitätsprüfung aktivieren, führt UCS zusätzliche Passwortprüfungen, einschließlich Wörterbuchprüfungen, für Passwortänderungen in UMC und Kerberos durch.

Sie konfigurieren die Qualitätsprüfungen über die folgenden Univention Configuration Registry Variablen. Weitere Informationen finden Sie in den verlinkten Variablenbeschreibungen.

Sie können die folgenden Kontrollen erzwingen:

• password/quality/credit/digits

• password/quality/credit/upper

• password/quality/credit/lower

• password/quality/credit/other

• password/quality/forbidden/chars

• password/quality/required/chars

• password/quality/mspolicy

Wichtig

Um die Passwortqualitätsprüfung auf alle UCS Anmeldesysteme anzuwenden, müssen Sie die Univention Configuration Registry Variablen auf allen UCS Anmeldeservern setzen.