Guide du mécanisme d'authentification pour l'entreprise de Sun

Changement de votre mot de passe

Vous pouvez changer votre mot de passe Kerberos de deux manières :

Avec la commande UNIX passwd ordinaire. Si SEAM est installé, la commande passwd Solaris vous invite automatiquement à entrer un nouveau mot de passe Kerberos.

L'avantage de la commande passwd par rapport à la commande kpasswd est que vous pouvez définir simultanément les deux mots de passe (UNIX et Kerberos). Cependant, il n'est généralement pas nécessaire de changer les deux mots de passe à l'aide de la commande passwd ; vous pouvez souvent changer seulement votre mot de passe UNIX et conserver votre mot de passe Kerberos, ou vice-versa.

Remarque :
Le comportement de la commande passwd dépend de la configuration du module d'authentification enfichable. Il peut s'avérer nécessaire de modifier les deux mots de passe dans certaines configurations. Sur certains sites, le mot de passe UNIX doit être changé, tandis que d'autres sites exigent le changement du mot de passe Kerberos.
Avec la commande kpasswd. kpasswd ressemble beaucoup à passwd. Toutefois, kpasswd ne change que les mots de passe Kerberos -- vous devez utiliser passwd pour changer votre mot de passe UNIX.

De plus, la commande kpasswd peut changer un mot de passe pour un principal Kerberos qui n'est pas un utilisateur UNIX valide. Par exemple, david/admin est un principal Kerberos, mais pas un utilisateur UNIX réel ; vous devez donc employer kpasswd au lieu de passwd.

Après un changement de mot de passe, il faut un certain temps pour que le changement se propage dans le système (surtout si le réseau est vaste). Selon la configuration de votre système, cela peut exiger quelques minutes ou plus d'une heure. Si vous devez obtenir de nouveaux tickets Kerberos peu après avoir changé votre mot de passe, essayez d'abord le nouveau mot de passe. Si cela ne fonctionne pas, entrez l'ancien mot de passe.

Kerberos V5 permet aux administrateurs de système de définir des critères relatifs aux mots de passe admissibles pour chaque utilisateur. De tels critères sont définis par la politique configurée pour chaque utilisateur (ou par une politique par défaut)-- voir "Administration des politiques" pour plus de détails sur les politiques. Supposons que la politique de julie (appelons-la poljul) spécifie que les mots de passe doivent comporter au moins 8 caractères et inclure un mélange d'au moins deux types de caractères. kpasswd interdirait alors le mot de passe «fleur» :

% kpasswd
kpasswd: Remplacement du mot de passe pour julie@ENG.ACME.COM.
Ancien mot de passe:   <Julie tape son mot de passe actuel>
kpasswd: Le mot de passe de julie@ENG.ACME.COM est contrôlé par
la politique poljul
qui exige au moins 8 caractères d'au moins 2 classes
(cinq classes possibles : minuscules, majuscules, chiffres, ponctuation,
et tous les autres caractères).
Nouveau mot de passe : <Julie tape 'fleur'>
Nouveau mot de passe (encore) :  <Julie tape à nouveau 'fleur'>
kpasswd: Le nouveau mot de passe est trop court.
Veuillez choisir un mot de passe qui compte au moins 4 caractères.

Maintenant, julie tape "fleur1234" comme mot de passe, ce qui satisfait les critères, car il comporte plus de 8 caractères et se compose de deux types de caractères (chiffres et minuscules) :

% kpasswd
kpasswd: Remplacement du mot de passe pour julie@ENG.ACME.COM.
Ancien mot de passe:  <Julie tape son mot de passe actuel>
kpasswd: Le mot de passe de julie@ENG.ACME.COM est contrôlé par
la politique poljul qui exige au moins 8 caractères d'au moins 2 classes
(cinq classes possibles : minuscules, majuscules, chiffres, ponctuation,
et tous les autres caractères). +
Nouveau mot de passe :  <Julie tape 'fleur1234'>
Nouveau mot de passe (encore) :  <Julie tape à nouveau 'fleur1234'>
Mot de passe Kerberos changé.

Exemples -- Changement de votre mot de passe

L'exemple suivant illustre comment david change ses mots de passe UNIX et Kerberos au moyen de la commande passwd.

% passwd
	passwd:  Remplacement du mot de passe pour david 
Entrer le mot de passe de connexion (NIS+) :    <tapez le mot de passe UNIX actuel>
	Nouveau mot de passe :                         <tapez le nouveau mot de passe UNIX>
	Entrez encore le mot de passe :                <confirmez le nouveau mot de passe UNIX>
	Ancien mot de passe KRB5 :                     <tapez le mot de passe Kerberos actuel>
	Nouveau mot de passe KRB5 :                    <tapez le nouveau mot de passe Kerberos>
	Entrez encore le nouveau mot de passe KRB5 :   <confirmez le nouveau mot de passe Kerberos>

Dans l'exemple précédent, la commande passwd demande les mots de passe UNIX et Kerberos. Cependant, si try_first_pass est activé dans le module d'authentification enfichable, le mot de passe Kerberos est automatiquement réglé à la même valeur que le mot de passe UNIX. (Il s'agit de la configuration par défaut.) Dans ce cas, david doit employer kpasswd pour changer son mot de passe Kerberos, comme l'illustre l'exemple suivant.

Cet exemple montre comment changer seulement le mot de passe Kerberos avec la commande kpasswd :

% kpasswd
kpasswd: Remplacement du mot de passe pour david@ENG.ACME.COM.
Ancien mot de passe:           <tapez le mot de passe Kerberos actuel>
Nouveau mot de passe:          <tapez le nouveau mot de passe Kerberos>
Nouveau mot de passe (encore): <confirmez le nouveau mot de passe Kerberos>
Mot de passe Kerberos changé.

Dans cet exemple, david change le mot de passe pour le principal david/admin (qui n'est pas un utilisateur UNIX valide). Pour ce faire, il doit employer la commande kpasswd.

% kpasswd david/admin
kpasswd:  Remplacement du mot de passe pour david/admin.
Ancien mot de passe:		   	     <tapez le mot de passe Kerberos actuel>
Nouveau mot de passe:			     <tapez le nouveau mot de passe Kerberos>
Nouveau mot de passe (encore) :	  <confirmez le nouveau mot de passe Kerberos>
Mot de passe Kerberos changé.