Handbok för Sun Enterprise Authentication Mechanism

Byta lösenord

Du kan byta ditt Kerberos-lösenord på två sätt:

Med det vanliga kommandot passwd i UNIX. Med SEAM installerat frågar kommandot passwd i Solaris också automatiskt efter ett nytt Kerberos-lösenord.

Fördelen med att använda passwd istället för kpasswd är att du kan ange båda lösenorden (för UNIX och Kerberos) samtidigt. I allmänhet måste du inte byta båda lösenorden med passwd. Ofta räcker det med att du byter enbart UNIX-lösenordet och låter Kerberos-lösenordet vara oförändrat eller vice-versa.

Obs!
Funktionen hos passwd beror på hur PAM-modulen är konfigurerad. Det kan krävas att du byter båda lösenorden för vissa konfigurationer. För vissa anläggningar krävs det att UNIX-lösenordet byts, medan det i andra fall kan vara ett byte av Kerberos-lösenordet som är obligatoriskt.
Med kommandot kpasswd. Kommandot kpasswd är väldigt likt passwd. En skillnad är att kpasswd bara byter Kerberos-lösenord. Du måste använda passwd för att byta UNIX-lösenordet.

En annan skillnad är att du med kpasswd kan byta lösenord för en Kerberos-principal som inte är en giltig UNIX-användare. Antag till exempel att david/admin är en Kerberos-principal utan att vara en UNIX-användare. I så fall måste du använda kpasswd istället för passwd.

Efter att du bytt lösenord tar det en viss tid innan ändringen har överförts genom systemet (särskilt i ett stort nätverk). Beroende på hur systemet är konfigurerat kan detta ta allt ifrån fem minuter till en timme eller mer. Om du behöver nya Kerberos-biljetter efter att nyligen ha bytt lösenord försöker du med det nya lösenordet först. Om det nya lösenordet inte fungerar försöker du igen med det gamla.

Med Kerberos V5 kan systemadministratörer ange kriterier för vilka lösenord som är tillåtna för varje användare. Sådana kriterier definieras av den policy som anges för varje användare (eller av en standardpolicy). Mer information om policies finns i "Administrera policies". Antag till exempel att karins policy (kalla den karpol) kräver att lösenord ska vara åtminstone åtta tecken långa och bestå av en blandning av åtminstone två sorters tecken. Därför kommer kpasswd att neka ett försök att använda "cykel" som lösenord:

% kpasswd
kpasswd: Ändrar lösenord för karin@ENG.ACME.COM:
Gammalt lösenord:   <karin anger sitt befintliga lösenord>
kpasswd: lösenordet för karin@ENG.ACME.COM styrs av policyn
karpol
som kräver minst 8 tecken från minst 2 klasser
(de fem klasserna är gemener, VERSALER, siffror, skiljetecken
samt alla andra tecken).
Nytt lösenord: <karin skriver in "cykel">
Nytt lösenord (upprepa):  <karin skriver in "cykel" en gång till>
kpasswd: Det nya lösenordet är för kort.
Välj ett lösenord med som är åtminstone 4 tecken långt.

Här använder karin "cykelväg49" som lösenord. "cykelväg49" uppfyller kriteriet eftersom det är mer än åtta tecken långt och innehåller två olika typer av tecken (siffror och små bokstäver):

% kpasswd
kpasswd: Ändrar lösenord för karin@ENG.ACME.COM.
Gammalt lösenord:  <karin anger sitt befintliga lösenord>
kpasswd: lösenordet för karin@ENG.ACME.COM styrs av policyn
karpol
som kräver minst 8 tecken från minst 2 klasser
(de fem klasserna är gemener, VERSALER, siffror, skiljetecken
samt alla andra tecken).
Nytt lösenord:  <karin skriver in "cykelväg49">
Nytt lösenord (upprepa):  <karin skriver in "cykelväg49" en gång till>
Kerberos-lösenordet har ändrats.

Exempel - Byta lösenord

I följande exempel visas hur david byter både sitt UNIX- och sitt Kerberos-lösenord med passwd.

% passwd
	passwd:  Ändrar lösenord för david
	Ange lösenordet för inloggning (NIS+):         <ange det befintliga UNIX-lösenordet>
	Nytt lösenord:                        <ange det nya UNIX-lösenordet>
	Ange lösenordet en gång till:                   <bekräfta det nya UNIX-lösenordet>
	Gammalt lösenord för KRB5:                   <ange det befintliga Kerberos-lösenordet>
	Nytt lösenord för KRB5:                   <ange det nya Kerberos-lösenordet>
	Ange lösenordet för KRB5 en gång till:          <bekräfta det nya Kerberos-lösenordet>

I exemplet ovan frågar passwd efter både UNIX- och Kerberos-lösenordet. Om däremot try_first_pass har angetts i PAM-modulen, kommer Kerberos-lösenordet att automatiskt anges till samma som UNIX-lösenordet. (Detta är standardkonfigurationen.) I så fall måste david använda kpasswd för att ange sitt Kerberos-lösenord till något annat enligt nästa exempel.

I det här exemplet visas hur han byter enbart sitt Kerberos-lösenord med kpasswd:

% kpasswd
kpasswd: Ändrar lösenord för david@ENG.ACME.COM.
Gammalt lösenord:           <ange det befintliga Kerberos-lösenordet>
Nytt lösenord:           <ange det nya Kerberos-lösenordet>
Nytt lösenord (upprepa):   <bekräfta det nya Kerberos-lösenordet>
Kerberos-lösenordet har ändrats.

I det här exemplet byter david lösenord för Kerberos-principalen david/admin (som inte är en giltig UNIX-användare). För att kunna göra det måste han använda kpasswd.

% kpasswd david/admin
kpasswd:  Ändrar lösenord för david/admin.
Gammalt lösenord:		   	     <ange det befintliga Kerberos-lösenordet>
Nytt lösenord:			       <ange det nya Kerberos-lösenordet>
Nytt lösenord (upprepa):	   <bekräfta det nya Kerberos-lösenordet>
Kerberos-lösenordet har ändrats.