5.4. Benutzerkennwort-Verwaltung

Die meisten Internetnutzer finden es schwierig, das richtige Passwort zu wählen. Das Passwort ist der Schlüssel zum Zugriff auf Benutzerkonten, auch in Nubus. Schwer zu erratende Passwörter und regelmäßige Passwortänderungen sind ein wesentliches Element der Systemsicherheit. Um zu verhindern, dass Benutzer schwache Passwörter wählen, können Administratoren verschiedene Eigenschaften in einer Passwort-Richtlinie konfigurieren.

Dieser Abschnitt beschreibt, wie Passwort-Richtlinien definiert werden, wie z.B. eine Mindestpasswortlänge und ein Ablaufzeitintervall. Nubus wendet die Passwort-Richtlinie an, wenn Benutzer ihre Passwörter ändern.

Nubus speichert das Benutzerpasswort für jeden Benutzer als Hash in verschiedenen Attributen des Benutzerkontos des entsprechenden LDAP-Objekts:

krb5Key:

speichert das Kerberos-Passwort.

userPassword:

speichert das Unix-Passwort. Andere Linux-Distributionen speichern es in /etc/shadow.

sambaNTPassword:

speichert den von Samba verwendeten NT-Passwort-Hash.

Siehe auch

Sichere Passwörter erstellen vom Bundesamt für Sicherheit in der Informationstechnik

für weitere Informationen und Tipps zur Erstellung eines sicheren und guten Passworts.

5.4.1. Passwort-Richtlinientypen

Nubus hat verschiedene Arten von Passwort-Richtlinieneinstellungen, wie in diesem Abschnitt beschrieben. Welche Richtlinie angewendet wird, hängt davon ab, wer die Passwortänderung durchführt.

Passwort-Richtlinie in UDM

Die Passwort-Richtlinie ist eine Richtlinie, die für Benutzerpasswortänderungen gilt, die durch Verwaltungsmodule in der Management UI durchgeführt werden, die wiederum UDM im Backend verwenden. Die Passwort-Richtlinie gilt, wenn ein Administrator das Passwort eines Benutzers über die Management UI, die UDM HTTP REST API oder UDM ändert. Sie gilt auch, wenn ein Benutzer sein Passwort ändert.

Nubus definiert eine Standard-Passwort-Richtlinie. Passwort-Richtlinieneinstellungen beschreibt die verfügbaren Einstellungen für die Passwort-Richtlinie. Um die Passwortqualitätsprüfung zu erweitern, siehe Passwortqualitätsprüfung. Sie können zusätzliche Passwort-Richtlinien erstellen und sie Benutzerkonto-Objekten im LDAP-Verzeichnisbaum zuweisen. Für weitere Informationen zu Richtlinien, siehe Richtlinien Modul.

Andere Passwort-Richtlinientypen

Für andere Passwort-Richtlinientypen, die für die UCS Appliance gelten, siehe Arten von Passwortrichtlinien in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2].

5.4.2. Das Benutzerpasswort ändern

Das Ändern des Benutzerpassworts hat folgende Auslöser:

1. Nubus verlangt vom Benutzer, sein Passwort zu ändern, zum Beispiel weil das Passwort das Ablaufintervall erreicht hat. Siehe folgende Einstellungen:

   • Verfallsdatum des Konto

   • Passwort-Ablaufintervall

2. Durch eine Einstellung am Benutzerkonto fordert ein Administrator den Benutzer auf, sein Passwort bei der nächsten Anmeldung zu ändern.

3. Der Benutzer entscheidet sich, sein Passwort zu ändern.

Wenn sich ein Benutzer entscheidet, sein Passwort zu ändern, kann er folgende Wege nutzen:

Portal

Nubus für Kubernetes und eine UCS-Domäne aus UCS Appliances haben das Portal installiert. Um das Passwort zu ändern, verwenden Sie folgende Schritte:

1. Melden Sie sich am Portal an.

2. Navigieren Sie zum Benutzermenü. Es ist das „Burger-Menü“ in der oberen rechten Ecke.

3. Wählen Sie Benutzereinstellungen ‣ Passwort ändern.

4. Geben Sie Ihr aktuelles Passwort ein und setzen Sie ein neues Passwort. Geben Sie es erneut ein und bestätigen Sie es.

End User Self Service

Der End User Self Service bietet einen direkten Link zur Passwortänderung, sodass Administratoren eine prominente Kachel zum Portal für die Passwortänderung hinzufügen können. Außerdem bietet er eine Möglichkeit, das Benutzerpasswort zurückzusetzen, wenn Benutzer es vergessen haben.

UCS Appliance

Benutzer Selbstverwaltung ist eine dedizierte App im Univention App Center.

Nubus für Kubernetes

Der End User Self Service ist Teil einer Nubus für Kubernetes Installation.

Siehe auch

Ändern des Benutzerpassworts

in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2] für weitere Methoden zur Änderung des Benutzerpassworts in einer UCS Appliance Umgebung.

5.4.3. Passwort-Richtlinieneinstellungen

Administratoren können die Mindestpasswortlänge, das Ablaufintervall und die Historienlänge des Passworts über Passwort-Richtlinien in den Richtlinien Modul in der Management UI definieren.

Abb. 5.5 zeigt die Passwort-Richtlinieneinstellungen. Dieser Abschnitt bietet eine Referenz der verfügbaren Einstellungen.

Abb. 5.5 Konfiguration einer Passwort-Richtlinie

Auf dem Reiter Allgemein einer Passwort-Richtlinie können Sie folgende Einstellungen konfigurieren.

Historienlänge

Die Passwort-Historie speichert die zuletzt verwendeten Passwort-Hashes. Die Historienlänge bestimmt die Länge dieser Historie. Zum Beispiel, ob die Historie die letzten drei oder die letzten sieben Passwörter speichert. Benutzer können Passwörter aus der Passwort-Historie nicht für das Setzen eines neuen Passworts wiederverwenden. Nubus speichert die Passwörter nicht rückwirkend.

Um die Validierung für die Passwort-Historie zu deaktivieren, setzen Sie den Wert auf 0.

Beispiel

Wenn Nubus zehn Passwörter gespeichert hat und Sie den Wert für die Historienlänge des Passworts auf 3 reduzieren, löscht Nubus die ältesten sieben Passwörter aus der Passworthistorie während der nächsten Passwortänderung. Wenn Sie dann die Historienlänge des Passworts ändern, bleibt die Anzahl der gespeicherten Passwörter bei drei und erhöht sich mit jeder Passwortänderung.

Passwortlänge

Die Passwortlänge ist die Mindestlänge in Zeichen, die ein Benutzerpasswort erfüllen muss. Wenn Sie keinen Wert setzen, wendet Nubus die Mindestlänge von 8 Zeichen an.

Der Standardwert gilt immer, wenn Sie keine Richtlinie setzen und Sie die Checkbox Passwortprüfung überschreiben aktiviert haben. Er gilt sogar, wenn Sie die default-settings Passwort-Richtlinie gelöscht haben.

Um die Validierung für die Passwortlänge zu deaktivieren, setzen Sie den Wert auf 0.

Passwort-Ablaufintervall

Ein Passwort-Ablaufintervall erfordert regelmäßige Passwortänderungen. Nubus fordert von einem Benutzer, sein Passwort während der Anmeldung an die Management UI, an Kerberos und auf UCS Appliance Systemen zu ändern, wenn das Ablaufintervall in Tagen vergangen ist.

Nubus zeigt die verbleibende Gültigkeit des Benutzerpassworts im Benutzer Verwaltungsmodul unter Passwort-Verfallsdatum auf dem Reiter Konto an. Um das Passwort-Ablaufintervall zu deaktivieren, lassen Sie den Wert leer.

Passwortqualitätsprüfung

Wenn Sie die Option Passwortqualitätsprüfung aktivieren, führt Nubus zusätzliche Passwortprüfungen durch, einschließlich Wörterbuchprüfungen, für Passwortänderungen über die Management UI und Kerberos.

Siehe auch

Passwortrichtlinieneinstellungen in UMC

in Univention Corporate Server - Handbuch für Benutzer und Administratoren [2] für weitere Konfigurationseinstellungen in einer UCS Appliance Umgebung.