Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
5 Benutzerverwaltung<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse sambaSa-<br />
mAccount nicht.<br />
POSIX-Konto<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen posixAc-<br />
count und shadowAccount nicht.<br />
Persönliche Informationen<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen organizatio-<br />
nalPerson und inetOrgPerson nicht.<br />
Public Key Infrastruktur-Konto<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse pkiUser nicht.<br />
Einfaches Authentisierungskonto<br />
Diese Option kann verwendet werden, um Benutzer-Objekte anzulegen die ausschließlich einen Be-<br />
nutzernamen und ein Passwort haben. Mit diesen Benutzern ist ausschließlich eine Authentisie-<br />
rung gegen den LDAP-Verzeichnisdienst möglich, aber keine Anmeldung an UCS- oder Windows-<br />
Systemen. Wird diese Option gesetzt, dann werden die Objektklassen uidObject und simpleSecu-<br />
rityObject verwendet.<br />
5.2 Richtlinienbasiertes Passwort-Management<br />
Schwer zu erratende Passwörter und regelmässige Passwortwechsel sind ein wichtiger Baustein der Sys-<br />
temsicherheit einer UCS-Domäne. Folgende Eigenschaften lassen sich für Benutzer über eine Passwort-<br />
Richtlinie konfigurieren:<br />
76<br />
• Die Passwort-Historie speichert die letzten Passwortänderungen in Form von Hashes. Diese Pass-<br />
wörter können dann vom Benutzer bei einer Änderung nicht als neues Kennwort verwendet werden.<br />
Mit einer Passwort-Historie von z.B. fünf müssten fünf neue Passwörter verwendet werden, bis ein<br />
Kennwort erneut verwendet werden kann.<br />
Die Passwörter werden nicht rückwirkend gespeichert. Wenn beispielsweise ursprünglich zehn Pass-<br />
wörter gespeichert wurden und der Wert auf drei herabgesetzt wird, werden die älteren sieben Pass-<br />
wörter bei der nächsten Passwort-Änderung aus der Historie entfernt. Wird danach die Historien-<br />
Länge wieder erhöht, müssen erst wieder Passwörter ’angesammelt’ werden.<br />
• Die Passwort-Länge ist die Mindestlänge an Zeichen, die ein Nutzer-Passwort mindestens enthal-<br />
ten muss. Wird nichts eintragen, beträgt die Mindestlänge acht Zeichen. Der Vorgabewert von acht<br />
Zeichen für die Passwort-Länge ist fest vorgegeben. Er gilt deswegen immer, wenn keine Richtli-<br />
nie gesetzt ist und das Auswahlkästchen Passwort-Länge ignorieren nicht markiert ist, also auch,<br />
wenn die Passwort-Richtlinie default-settings gelöscht wurde.<br />
• Ein Passwort-Ablaufintervall forciert regelmässige Passwortänderungen. Bei der Anmeldung an<br />
Kerberos, an Windows-Clients und an UCS-Systemen wird nach Ablauf des Intervalls in Tagen ein<br />
Passwortwechsel erzwungen. Die verbleibende Gültigkeit des Kennworts wird in der Benutzerver-<br />
waltung unter Passwort-Ablaufdatum im Reiter Konto angezeigt.