Manuale di Sun Enterprise Authentication Mechanism

Modifica della password

La password di Kerberos può essere cambiata in due modi:

Con il normale comando passwd di UNIX. Quando SEAM è installato, il comando passwd di Solaris richiede automaticamente anche una nuova password per Kerberos.

L'uso di passwd è preferibile all'uso di kpasswd poiché permette di impostare entrambe le password (per UNIX e Kerberos) con una stessa operazione. In genere, tuttavia, non è necessario cambiare entrambe le password con passwd; in molti casi, si può cambiare solo la password di UNIX senza modificare la password di Kerberos o viceversa.

Nota -
Il comportamento di passwd dipende dalla configurazione del modulo PAM. In alcune configurazioni può essere necessario cambiare entrambe le password. Per alcuni siti è necessario cambiare la password di UNIX, mentre altri richiedono la modifica della password di Kerberos.
Con il comando kpasswd. kpasswd è molto simile a passwd, ma kpasswd cambia solo le password di Kerberos, mentre per cambiare la password di UNIX è necessario usare passwd.

Un'altra differenza consiste nel fatto che kpasswd può cambiare una password per un nome principale di Kerberos che non corrisponde a un utente UNIX valido. Ad esempio, davide/admin è un nome principale di Kerberos, ma non è un utente UNIX effettivo, perciò in questo caso è necessario usare kpasswd invece di passwd.

Dopo aver cambiato la password, occorre qualche tempo perché questa modifica venga propagata nell'intero sistema (soprattutto se la rete è molto estesa). A seconda della configurazione del sistema, tale tempo può variare da pochi minuti a un'ora o più. Se occorre acquisire nuovi ticket Kerberos poco dopo la modifica della password, provare prima la nuova password. Se la nuova password non funziona, riprovare usando quella vecchia.

Kerberos V5 permette agli amministratori di sistema di impostare i criteri per le password accettabili per ogni utente. Tali criteri possono essere definiti a livello di utente singolo (o mediante un insieme di criteri predefinito), per maggiori informazioni sui criteri, vedere "Amministrazione dei criteri". Ad esempio, si supponga che i criteri associati a giovanna (denominati crigio) impongano che la password debba avere una lunghezza minima di otto caratteri e debba includere almeno due tipi di caratteri. In questo caso, kpasswd rifiuterà i tentativi di usare una password come "falena":

% kpasswd
kpasswd: Modifica della password per giovanna@EURO.SPA.IT.
Vecchia password:   <giovanna inserisce la sua password corrente>
kpasswd: La password di giovanna@EURO.SPA.IT è controllata dai 
criteri crigio che richiedono almeno 8 caratteri di almeno 2 classi 
(le cinque classi sono lettere minuscole, lettere maiuscole, 
numeri e tutti gli altri caratteri).
Nuova password: <giovanna inserisce 'falena'>
Nuova password (ripetere):  <giovanna reinserisce 'falena'>
kpasswd: La nuova password è troppo corta.
Scegliere una password che contenga almeno 8 caratteri.

A questo punto, giovanna sceglie la password "falena1949". 'falena1949' soddisfa i criteri specificati, poiché ha una lunghezza maggiore di otto lettere e contiene due tipi differenti di caratteri (numeri e lettere minuscole):

% kpasswd
kpasswd: Modifica della password per giovanna@EURO.SPA.IT.
Vecchia password:  <giovanna inserisce la sua password corrente>
kpasswd: La password di giovanna@EURO.SPA.IT è controllata dai 
criteri crigio che richiedono almeno 8 caratteri di almeno 2 classi 
(le cinque classi sono lettere minuscole, lettere maiuscole, 
numeri e tutti gli altri caratteri).
Nuova password:  <giovanna inserisce 'falena1949'>
Nuova password (ripetere):  <giovanna reinserisce 'falena1949'>
Password per Kerberos modificata.

Esempi: Modifica della password

Nell'esempio seguente, davide modifica sia la sua password UNIX che la sua password Kerberos con passwd.

% passwd
	passwd:  Changing password for davide
	Enter login (NIS+) password:         <inserire la password UNIX corrente>
	New password:                        <inserire la nuova password UNIX>
	Re-enter password:                   <confermare la nuova password UNIX>
	Old KRB5 password:                   <inserire la password Kerberos corrente>
	New KRB5 password:                   <inserire la nuova password Kerberos>
	Re-enter new KRB5 password:          <confermare la nuova password Kerberos>

Nell'esempio precedente, passwd chiede di inserire sia la password UNIX che la password Kerberos; tuttavia, se nel modulo PAM è abilitata l'opzione try_first_pass, la password Kerberos verrà impostata in modo automatico come uguale alla password UNIX. (Questa è la configurazione predefinita.) In questo caso, davide dovrà usare kpasswd per impostare una stringa diversa come password Kerberos, come mostrato nell'esempio seguente.

In questo esempio, davide cambia solo la sua password Kerberos con kpasswd:

% kpasswd
kpasswd: Modifica della password per davide@EURO.SPA.IT.
Vecchia password:           <inserire la password Kerberos corrente>
Nuova password:           <inserire la nuova password Kerberos>
Nuova password (ripetere):   <confermare la nuova password Kerberos>
Password per Kerberos modificata.

In questo esempio, davide cambia la password per il nome principale Kerberos davide/admin (che non è un utente UNIX valido). A questo scopo, egli deve utilizzare kpasswd.

% kpasswd davide/admin
kpasswd:  Modifica della password per davide/admin.
Vecchia password:		   	     <inserire la password Kerberos corrente>
Nuova password:			       <inserire la nuova password Kerberos>
Nuova password (ripetere):	   <confermare la nuova password Kerberos>
Password per Kerberos modificata.