Kerberos パスワードは 2 つの方法で変更できます。
通常の UNIX passwd コマンド。SEAM がインストールされていると、Solaris passwd コマンドでも新しい Kerberos パスワードを求めるプロンプトが自動的に表示されます。
kpasswd の代わりに passwd を使用する利点は、UNIX と Kerbeors 両方のパスワードを同時に設定できることです。しかし、passwd で両方のパスワードを同時に変更することは一般的に必要ありません。UNIX パスワードだけを変更して Kerberos パスワードは変更しなかったり、その逆はよくあります。
passwd の動きは、PAM モジュールがどのように構成されているかによって異なります。構成によっては、両方のパスワードを変更しなければならないことがあります。あるサイトでは UNIX パスワードの変更が必須であり、別のサイトでは Kerberos パスワードの変更が必須であるということがあります。
kpasswd パスワードコマンド。kpasswd は passwd とよく似ていますが、違う点の 1 つは、kpasswd では Kerberos パスワードだけを変更するということです。UNIX パスワードを変更する場合は、passwd を使用する必要があります。
もう 1 つの違いは、kpasswd では、有効な UNIX ユーザーではない Kerberos プリンシパルのパスワードを変更できる点です。たとえば、david/admin は Kerberos プリンシパルですが、実際の UNIX ユーザーではありません。したがって、この場合は、passwd の代わりに kpasswd を使用する必要があります。
kpasswd を使用するには、SEAS 3.0 リリースに含まれている SEAM 1.0 管理システムを使用する必要があります。さらに、プライバシサポートを読み込んで、このパスワードの変更要求を防止する必要があります。
パスワードを変更しても、変更がシステム全体に伝達されるまでには (とりわけ大きなネットワークでは)、ある程度の時間が必要です。システムの設定方法によりますが、この時間は数分から 1 時間以上になることがあります。パスワードを変更したあとすぐに新しい Kerberos チケットを取得する場合は、新しいパスワードをまず試してください。新しいパスワードが有効でない場合は、前のパスワードを使用して再度試してください。
Kerberos V5 では、システム管理者が有効なパスワードの基準をユーザーごとに設定できます。このような基準は、ユーザーごとに「ポリシー」セット (またはデフォルトポリシー) で定義します。たとえば、jenpol と呼ぶ jennifer のポリシーでは、パスワードは少なくとも 8 文字からなり、少なくとも 2 種類の文字が混在すると定義されているとします。その場合、パスワードとして sloth を入力すると、kpasswd によって拒否されます。
% kpasswd kpasswd: Changing password for jennifer@ENG.ACME.COM. Old password: <jennifer が現在のパスワードを入力する> kpasswd: jennifer@ENG.ACME.COM's password is controlled by the policy jenpol which requires a minimum of 8 characters from at least 2 classes (the five classes are lowercase, uppercase, numbers, punctuation, and all other characters). New password: <jennifer が「sloth」と入力する> New password (again): <jennifer が再び「sloth」と入力する> kpasswd: New password is too short. Please choose a password which is at least 4 characters long. |
次に、jennifer はパスワードとして slothrop49 と入力します。slothrop49 は長さが 8 文字以上で、2 種類の文字 (数字と小文字) が混在しているため基準に合っています。
% kpasswd kpasswd: Changing password for jennifer@ENG.ACME.COM. Old password: <jennifer が現在のパスワードを入力する> kpasswd: jennifer@ENG.ACME.COM's password is controlled by the policy jenpol which requires a minimum of 8 characters from at least 2 classes (the five classes are lowercase, uppercase, numbers, punctuation, and all other characters). New password: <jennifer が「slothrop49」と入力する> New password (again): <jennifer が再び「slothrop49」と入力する> Kerberos password changed. |
次の例では、david が passwd を使用して UNIX と Kerberos のパスワードを両方とも変更します。
% passwd passwd: Changing password for david Enter login (NIS+) password: <現在の UNIX パスワードを入力する> New password: <新しい UNIX パスワードを入力する> Re-enter password: <新しい UNIX パスワードを確認する> Old KRB5 password: <現在の Kerberos パスワードを入力する> New KRB5 password: <新しい Kerberos パスワードを入力する> Re-enter new KRB5 password: <新しい Kerberos パスワードを確認する> |
上の例では、passwd によって UNIX と Kerberos のパスワードが要求されます。しかし、PAM モジュールで try_first_pass が設定されていると、Kerberos パスワードは自動的に UNIX パスワードと同じ内容に設定されます (これがデフォルトの設定です)。この場合、david が Kerberos パスワードを他のものに設定するには、次の例のように kpasswd を使用する必要があります。
次の例では、david が kpasswd を使用して Kerberos パスワードだけを変更します。
% kpasswd kpasswd: Changing password for david@ENG.ACME.COM. Old password: <現在の Kerberos パスワードを入力する> New password: <新しい Kerberos パスワードを入力する> New password (again): <新しい Kerberos パスワードを確認する> Kerberos password changed. |
次の例では、david が Kerberos のプリンシパル david/admin (有効な UNIX ユーザーではない) を変更します。この場合、kpasswd を使用します。
% kpasswd david/admin kpasswd: Changing password for david/admin. Old password: <現在の Kerberos パスワードを入力する> New password: <新しい Kerberos パスワードを入力する> New password (again): <新しい Kerberos パスワードを確認する> Kerberos password changed. |