Lösenordshantering

Med SEAM installerat har du nu två lösenord: ditt normala Solaris-lösenord och ett Kerberos-lösenord. Du kan låta de båda lösenorden vara antingen samma eller olika.

Ej Kerberos-anpassade kommandon som till exempel login anges normalt via PAM så att de verifieras av både Kerberos och UNIX. Om lösenorden är olika måste du ange båda för att bli inloggad med rätt verifiering. Om däremot båda lösenorden är samma, kommer det första lösenordet som du anger för UNIX också att accepteras av Kerberos.

Tyvärr kan det innebära minskad säkerhet att använda samma lösenord i båda fallen. Om någon avslöjar ditt Kerberos-lösenord innebär det ju att även UNIX-lösenordet är avslöjat. Att använda samma lösenord för UNIX och Kerberos är ändå säkrare än att använda en anläggning utan Kerberos, eftersom lösenord aldrig skickas via nätverket i en Kerberos-miljö. Ofta finns det en policy på arbetsplatsen som hjälper dig att ta ställning till dessa frågor.

Ditt Kerberos-lösenord är det enda sättet för Kerberos att verifiera din identitet. Om någon avslöjar ditt Kerberos-lösenord, blir all Kerberos-säkerhet meningslös eftersom den personen fullt ut kan låtsas vara du - skicka e-post som kommer från "dig", läsa, redigera eller ta bort dina filer eller logga in som dig på andra värdar - och ingen kommer att kunna märka någon skillnad. Därför är det av största betydelse att du väljer ett bra lösenord och sedan håller det hemligt. Om du behöver ge någon annan åtkomst till ditt konto, kan du göra detta med Kerberos utan att avslöja ditt lösenord (Se "Bevilja åtkomst till ditt konto"). Du bör aldrig avslöja ditt lösenord till någon annan, inte ens till systemadministratören. Du bör dessutom ändra ditt lösenord med jämna mellanrum, särskilt om du skulle misstänka att någon kan ha kommit på det.

Goda råd om att välja lösenord

Lösenordet kan innehålla nästan vilka tecken som helst som går att skriva (med undantag av styrtangenter och Retur-tangenten). Ett bra lösenord är ett som du enkelt kan komma ihåg, men som ingen annan kan gissa sig till. Exempel på dåliga lösenord:

• Ord som finns i en ordlista

• Vanliga personnamn

• Namnet på en berömd person eller rollfigur

• Ditt eget namn eller användarnamn i någon form (till exempel baklänges, repeterat två gånger etc)

• Namnet på din fru, ditt barn eller ett husdjur

• Ditt eller någon närståendes födelsedatum

• Personnummer, passnummer, kontonummer eller liknande identitetsnummer

• Exempel på lösenord tagna ifrån den här eller övriga handböcker

Ett bra lösenord är minst åtta tecken långt. Dessutom bör ett lösenord innehålla en blandning av tecken, dvs stora och små bokstäver, siffror och skiljetecken. Exempel på lösenord som hade varit bra om de inte funnits med i den här handboken:

• Akronymer som "I2LMHinSF" (koms ihåg som "I too left my heart in San Francisco")

• Nonsensord som är lätta att uttala, till exempel "BlampiDuns" eller "TjolaBomp!"

• Medvetet felstavade fraser, till exempel "klåkkan6" eller "HejjjaBlåååvittt!"

Använd inte ovanstående exempel. Lösenord som står i en handbok är de första en inkräktare provar.

Byta lösenord

Du kan byta ditt Kerberos-lösenord på två sätt:

• Med det vanliga kommandot passwd i UNIX. Med SEAM installerat frågar kommandot passwd i Solaris också automatiskt efter ett nytt Kerberos-lösenord.

  Fördelen med att använda passwd istället för kpasswd är att du kan ange båda lösenorden (för UNIX och Kerberos) samtidigt. I allmänhet måste du inte byta båda lösenorden med passwd. Ofta räcker det med att du byter enbart UNIX-lösenordet och låter Kerberos-lösenordet vara oförändrat eller vice-versa.

  ---

  Obs!

  Funktionen hos passwd beror på hur PAM-modulen är konfigurerad. Det kan krävas att du byter båda lösenorden för vissa konfigurationer. För vissa anläggningar krävs det att UNIX-lösenordet byts, medan det i andra fall kan vara ett byte av Kerberos-lösenordet som är obligatoriskt.

  ---

• Med kommandot kpasswd. Kommandot kpasswd är väldigt likt passwd. En skillnad är att kpasswd bara byter Kerberos-lösenord. Du måste använda passwd för att byta UNIX-lösenordet.

  En annan skillnad är att du med kpasswd kan byta lösenord för en Kerberos-principal som inte är en giltig UNIX-användare. Antag till exempel att david/admin är en Kerberos-principal utan att vara en UNIX-användare. I så fall måste du använda kpasswd istället för passwd.

Efter att du bytt lösenord tar det en viss tid innan ändringen har överförts genom systemet (särskilt i ett stort nätverk). Beroende på hur systemet är konfigurerat kan detta ta allt ifrån fem minuter till en timme eller mer. Om du behöver nya Kerberos-biljetter efter att nyligen ha bytt lösenord försöker du med det nya lösenordet först. Om det nya lösenordet inte fungerar försöker du igen med det gamla.

Med Kerberos V5 kan systemadministratörer ange kriterier för vilka lösenord som är tillåtna för varje användare. Sådana kriterier definieras av den policy som anges för varje användare (eller av en standardpolicy). Mer information om policies finns i "Administrera policies". Antag till exempel att karins policy (kalla den karpol) kräver att lösenord ska vara åtminstone åtta tecken långa och bestå av en blandning av åtminstone två sorters tecken. Därför kommer kpasswd att neka ett försök att använda "cykel" som lösenord:

% kpasswd
kpasswd: Ändrar lösenord för karin@ENG.ACME.COM:
Gammalt lösenord:   <karin anger sitt befintliga lösenord>
kpasswd: lösenordet för karin@ENG.ACME.COM styrs av policyn
karpol
som kräver minst 8 tecken från minst 2 klasser
(de fem klasserna är gemener, VERSALER, siffror, skiljetecken
samt alla andra tecken).
Nytt lösenord: <karin skriver in "cykel">
Nytt lösenord (upprepa):  <karin skriver in "cykel" en gång till>
kpasswd: Det nya lösenordet är för kort.
Välj ett lösenord med som är åtminstone 4 tecken långt. 

Här använder karin "cykelväg49" som lösenord. "cykelväg49" uppfyller kriteriet eftersom det är mer än åtta tecken långt och innehåller två olika typer av tecken (siffror och små bokstäver):

% kpasswd
kpasswd: Ändrar lösenord för karin@ENG.ACME.COM.
Gammalt lösenord:  <karin anger sitt befintliga lösenord>
kpasswd: lösenordet för karin@ENG.ACME.COM styrs av policyn
karpol
som kräver minst 8 tecken från minst 2 klasser
(de fem klasserna är gemener, VERSALER, siffror, skiljetecken
samt alla andra tecken).
Nytt lösenord:  <karin skriver in "cykelväg49">
Nytt lösenord (upprepa):  <karin skriver in "cykelväg49" en gång till>
Kerberos-lösenordet har ändrats.

Exempel - Byta lösenord

I följande exempel visas hur david byter både sitt UNIX- och sitt Kerberos-lösenord med passwd.

% passwd
	passwd:  Ändrar lösenord för david
	Ange lösenordet för inloggning (NIS+):         <ange det befintliga UNIX-lösenordet>
	Nytt lösenord:                        <ange det nya UNIX-lösenordet>
	Ange lösenordet en gång till:                   <bekräfta det nya UNIX-lösenordet>
	Gammalt lösenord för KRB5:                   <ange det befintliga Kerberos-lösenordet>
	Nytt lösenord för KRB5:                   <ange det nya Kerberos-lösenordet>
	Ange lösenordet för KRB5 en gång till:          <bekräfta det nya Kerberos-lösenordet>

I exemplet ovan frågar passwd efter både UNIX- och Kerberos-lösenordet. Om däremot try_first_pass har angetts i PAM-modulen, kommer Kerberos-lösenordet att automatiskt anges till samma som UNIX-lösenordet. (Detta är standardkonfigurationen.) I så fall måste david använda kpasswd för att ange sitt Kerberos-lösenord till något annat enligt nästa exempel.

I det här exemplet visas hur han byter enbart sitt Kerberos-lösenord med kpasswd:

% kpasswd
kpasswd: Ändrar lösenord för david@ENG.ACME.COM.
Gammalt lösenord:           <ange det befintliga Kerberos-lösenordet>
Nytt lösenord:           <ange det nya Kerberos-lösenordet>
Nytt lösenord (upprepa):   <bekräfta det nya Kerberos-lösenordet>
Kerberos-lösenordet har ändrats.
 

I det här exemplet byter david lösenord för Kerberos-principalen david/admin (som inte är en giltig UNIX-användare). För att kunna göra det måste han använda kpasswd.

% kpasswd david/admin
kpasswd:  Ändrar lösenord för david/admin.
Gammalt lösenord:		   	     <ange det befintliga Kerberos-lösenordet>
Nytt lösenord:			       <ange det nya Kerberos-lösenordet>
Nytt lösenord (upprepa):	   <bekräfta det nya Kerberos-lösenordet>
Kerberos-lösenordet har ändrats. 
 

Bevilja åtkomst till ditt konto

Om du behöver ge någon möjlighet att logga in på ditt konto (som du) kan du göra detta i Kerberos utan att avslöja ditt lösenord genom att lägga en .k5login-fil i din hemkatalog. En .k5login-fil består av en lista med en eller flera Kerberos-principaler motsvarande varje person som du vill ge åtkomst. (Varje principal måste anges på en egen rad.)

Antag att användaren david har en .k5login-fil som ser ut så här i sin hemkatalog:

karin@ENG.ACME.COM
johan@ACME.ORG  

Den här filen gör det möjligt för karin och johan att anta davids identitet förutsatt att de redan har Kerberos-biljetter för sina respektive användarkategorier. Karin kan till exempel använda rlogin för att logga in på davids maskin (boston), som honom, utan att behöva ange hans lösenord:

Figur 6-1 Använda filen .k5login

(Om davids hemkatalog skulle vara NFS-monterad måste karin ha en vidarebefordringsbar biljett för att kunna komma åt hans hemkatalog med Kerberos V5-protokoll från en annan (tredje) maskin. Ett exempel på hur man använder en vidarebefordringsbar biljett finns i "Så här skapar du en biljett".)

Om du kommer att logga in på andra maskiner via ett nätverk bör du inkludera din egen Kerberos-principal i .k5login-filerna på dessa maskiner.

Att använda en .k5login-fil är mycket säkrare än att dela ut ditt lösenord:

• Du kan ta bort åtkomstmöjligheten när som helst genom att ta bort principalen eller principalerna från din .k5login-fil.

• Trots att de användare som anges i .k5login-filen i din hemkatalog har fullständig åtkomst till ditt konto på maskinen (eller på mängden maskiner om .k5login-filen är delad, till exempel i ett NFS-system), så ärver de inte dina nätverksrättigheter. Alla Kerberos-anpassade tjänster kommer att verifiera åtkomst baserat på respektive användares identitet och inte på din identitet. Det betyder att karin kan logga in på johans maskin och utföra uppgifter där, men om hon använder ett Kerberos-anpassat program, som till exempel ftp eller rlogin, gör hon det som sig själv.

• Kerberos sparar en logg över vilka som hämtar biljetter så att en systemadministratör, om så erfordras, kan ta reda på vem som kan använda din användaridentitet vid ett visst tillfälle.

Ett vanligt sätt att använda .k5login-filen är att lägga den i hemkatalogen för root vilket ger root åtkomst till de angivna Kerberos-principalerna för den maskinen. Detta gör det möjligt för systemadministratörer att bli root lokalt eller att logga in från en fjärrmaskin som root utan att behöva dela ut lösenordet för root och utan att någon behöver ange det över nätverket.

Exempel - Använda filen .k5login

Antag att karin bestämmer sig för att logga in på maskinen boston.acme.com som root. Eftersom det finns en post för hennes principalnamn i .k5login i hemkatalogen för root på boston.acme.com, behöver hon inte ange sitt lösenord på nytt:

% rlogin boston.acme.com -l root -x
Denna rlogin-session använder DES-kryptering för all dataöverföring.  
Senaste inloggning: tor 20 jun 16:20:50 från daffodil  
SunOS version 5.7 (GENERIC) #2: tis 14 nov 18:09:31 GMT 1998  
boston[root]%