Paßwort-Verwaltung

Wenn Sie SEAM installiert haben, verfügen Sie jetzt über zwei Paßwörter: Ihr normales Solaris-Paßwort und ein Kerberos-Paßwort. Sie können für beides dieselben oder unterschiedliche Paßwörter verwenden.

Nicht kerberosfähige Befehle wie login werden in der Regel durch PAM so eingerichtet, daß sie die Authentisierung bei Kerberos wie auch bei UNIX vornehmen. Wenn Sie unterschiedliche Paßwörter haben, müssen Sie beide Paßwörter für eine Anmeldung mit entsprechender Authentisierung angeben. Wenn beide Paßwörter aber dieselben sind, wird das erste, das Sie für UNIX eingeben, auch von Kerberos akzeptiert.

Leider kann durch Verwendung desselben Paßworts für beide die Sicherheit beeinträchtigt werden. Das heißt, wenn jemand Ihr Kerberos-Paßwort entdeckt, dann ist eben Ihr UNIX-Paßwort auch kein Geheimnis mehr. Jedoch ist die Verwendung desselben Paßworts für UNIX und für Kerberos immer noch sicherer als eine Site ohne Kerberos, weil in einer Kerberos-Umgebung die Paßwörter nicht über das Netzwerk versendet werden. Gewöhnlich hat eine Site Richtlinien, die Ihnen bei der Entscheidung über Ihre Optionen helfen.

Ihr Kerberos-Paßwort ist für Kerberos die einzige Möglichkeit, Ihre Identität zu überprüfen. Wenn jemand Ihr Kerberos-Paßwort entdeckt, wird die Kerberos-Sicherheit bedeutungslos, weil diese Person sich für Sie ausgeben und E-Mail senden kann, die scheinbar von Ihnen kommt, Ihre Dateien lesen, bearbeiten oder löschen kann, oder sich mit Ihrem Namen bei anderen Hosts anmelden kann; niemand wird in der Lage sein, einen Unterschied festzustellen. Aus diesem Grund ist es es unerläßlich, daß Sie ein gutes Paßwort auswählen und es geheim halten. Wenn Sie einer anderen Person Zugang zu Ihrem Konto gewähren müssen, können Sie dies über Kerberos tun, ohne Ihr Paßwort preisgeben zu müssen (Siehe "Zugangserlaubnis auf ein Konto"). Sie solten niemals Ihr Paßwort einer anderen Person offenbaren, nicht einmal Ihrem Systemverwalter. Außerdem sollten Sie Ihr Paßwort häufig ändern, besonders immer dann, wenn Sie glauben, jemand könnte es herausgefunden haben.

Ratschläge zur Auswahl eines Paßworts

Ihr Paßwort kann fast aus jedem Zeichen bestehen, das Sie eingeben können (die wichtigsten Ausnahmen sind die STRG-Taste und die RETURN-Taste oder Eingabetaste). Ein gutes Paßwort ist eines, das Sie leicht behalten können, aber das kein anderer leicht erraten kann. Hier sind einige Beispiele für schlecht gewählte Paßwörter:

• Wörter, die in einem Wörterbuch gefunden werden können

• Ein allgemein bekannter oder beliebter Name

• Der Name einer berühmten Person oder Gestalt

• Ihr eigener Name oder Benutzername in jeglicher Form (zum Beispiel rückwärts, zweimal wiederholt und so weiter).

• Der Name der Ehefrau, eines Kindes oder Haustiers.

• Ihr Geburtstag oder der eines Verwandten

• Sozialversicherungsnummer, Führerscheinnummer, Reisepaßnummer oder eine ähnliche, identifizierende Zahl

• Jedes Beispielpaßwort, das in diesem oder irgendeinem anderen Handbuch vorkommt.

Ein gutes Paßwort ist wenigstens acht Zeichen lang. Darüber hinaus sollte ein Paßwort eine Mischung unterschiedlicher Zeichen enthalten, wie Groß- und Kleinbuchstaben, Zahlen und Interpunktionszeichen. Es folgen Beispiele von Paßwörtern, die gut wären, wenn Sie nicht in diesem Handbuch erschienen:

• Akronyme wie "IHmhiHv" (gemerkt als "Ich hab' mein Herz in Heidelberg verloren")

• Leicht auszusprechende, unsinnige Wörter wie "DackeDiDu" oder "UmmsFallera!"

• Absichtlich falsch geschriebene Phrasen wie "sexOhr" oder "AaaleMchtDnFrauuun!"

Verwenden Sie nicht diese Beispiele. Paßwörter, die in Handbüchern erscheinen, sind die ersten, die ein Hacker ausprobiert.

Ändern eines Paßworts

Sie können Ihr Kerberos-Paßwort auf zwei Arten ändern:

• Mit dem üblichen UNIX-Befehl passwd. Wenn SEAM installiert ist, fragt der Solaris-Befehl passwd automatisch auch nach einem neuen Kerberos-Paßwort.

  Der Vorteil bei der Verwendung von passwd anstelle von kpasswd liegt darin, daß Sie beide Paßwörter (UNIX und Kerberos) zur selben Zeit festlegen können. Im allgemeinen müssen Sie jedoch nicht beide Paßwörter mit passwd ändern; oft können Sie einfach Ihr UNIX-Paßwort ändern und das Kerberos-Paßwort unverändert lassen und umgekehrt.

  ---

  Hinweis -

  Das Verhalten von passwd hängt davon ab, wie das PAM-Modul konfiguriert ist. In manchen Konfigurationen könnte es erforderlich sein, beide Paßwörter zu ändern. Für manche Sites muß das UNIX-Paßwort geändert werden, während andere verlangen, daß Sie das Kerberos-Paßwort ändern.

  ---

• Der Befehl kpasswd ähnelt sehr dem Befehl passwd. Ein Unterschied ist, daß kpasswd nur Kerberos-Paßwörter ändert: Sie müssen passwd verwenden, um Ihr UNIX-Paßwort zu ändern.

  Ein weiterer Unterschied ist, daß kpasswd das Paßwort für einen Kerberos-Hauptbenutzer ändern kann, der kein gültiger UNIX-Benutzer ist. So ist zum Beispiel david/admin ein Kerberos-Hauptbenutzer, aber kein eigentlicher UNIX-Benutzer, weswegen Sie den Befehl kpasswd anstelle von passwd verwenden müssen.

Nachdem Sie Ihr Paßwort geändert haben, dauert es einige Zeit, bis die Änderung sich durch ein System vervielfältigt hat (besonders, wenn es sich um ein großes Netzwerk handelt). Abhängig davon, wie Ihr System eingerichtet ist, könnte das etwa einige Minuten bis zu einer Stunde und länger dauern. Wenn Sie kurz nach dem Ändern Ihres Paßworts neue Kerberos-Tickets abrufen müssen, versuchen Sie das neue Paßwort zuerst. Wenn das neue Paßwort nicht funktioniert, versuchen Sie es noch einmal mit dem alten.

Kerberos V5 erlaubt Systemverwaltern, Kriterien über zulässige Paßwörter pro Benutzer festzulegen. Solche Kriterien werden durch die Richtlinie definiert, die für jeden Benutzer eingerichtet ist (oder durch eine Standard-Richtlinie); siehe "Verwalten von Richtlinien", um mehr über Richtlinien zu erfahren. Nehmen wir zum Beispiel an, daß die Benutzerin jennifer eine Richtlinie (mit dem Namen jenpol) festgelegt hat, die verlangt, daß Paßwörter wenigstens acht Buchstaben lang und eine Mischung von wenigstens zwei Arten von Zeichen enthalten muß. Daher weist kpasswd den Versuch zurück, "penner" als Paßwort zu verwenden.

% kpasswd
kpasswd: Paßwort ändern für jennifer@ENG.ACME.COM.
Altes Paßwort:   <jennifer gibt Ihr bestehendes Paßwort ein>
kpasswd: Das Paßwort von jennifer@ENG.ACME.COM wird durch die 
Richtlinie jenpol kontrolliert, 
die wenigstens 8 Zeichen aus mindestens 2 Klassen verlangt 
(die 5 Klassen sind Kleinbuchstaben, Großbuchstaben, Interpunktion 
und alle anderen Zeichen).
Neues Paßwort: <jennifer gibt 'penner' ein>
Neues Paßwort (erneut):  <jennifer gibt nochmals 'penner' ein>>
kpasswd: Neues Paßwort ist zu kurz.
Bitte wählen Sie ein Paßwort, das wenigstens 8 Zeichen lang ist. 

Im folgenden Beispiel verwendet jennifer "faulPelz008" als Paßwort. Das erfüllt die Kriterien, weil es länger als 8 Zeichen ist und wenigstens zwei Arten von Zeichen (Kleinbuchstaben, Großbuchstabe, Zahlen) enthält.

% kpasswd
kpasswd: Paßwort ändern für jennifer@ENG.ACME.COM.
Altes Paßwort:  <jennifer gibt Ihr bestehendes Paßwort ein>
kpasswd: Das Paßwort von jennifer@ENG.ACME.COM wird durch die 
Richtlinie jenpol kontrolliert, 
die wenigstens 8 Zeichen aus mindestens 2 Klassen verlangt 
(die 5 Klassen sind Kleinbuchstaben, Großbuchstaben, Interpunktion 
und alle anderen Zeichen).
Neues Paßwort:  <jennifer gibt 'faulPelz008' ein>
Neues Paßwort (erneut):  <jennifer gibt noch einmal 'faulPelz008' ein>
Kerberos-Paßwort geändert.

Beispiele -- Ändern des Paßworts

Das folgende Beispiel zeigt, wie david sein UNIX- und auch sein Kerberos-Paßwort mit passwd ändert.

% passwd
	passwd:  Paßwort ändern für david.
	Geben Sie Anmeldepaßwort (NIS+) ein:  <geben Sie das aktuelle UNIX-Paßwort ein>
	Neues Paßwort:                        <geben Sie das neue UNIX-Paßwort ein>
	Geben Sie das Paßwort erneut ein:     <bestätigen Sie das neue UNIX-Paßwort>
	Altes KRB5-Paßwort:                   <geben Sie das aktuelle Kerberos-Paßwort ein>
	Neues KRB5-Paßwort:                   <geben Sie das neue Kerberos-Paßwort ein>
	Geben Sie das neue KRB5-Paßwort erneut ein: <bestätigen Sie das neue KRB5-Paßwort>

Im obigen Beispiel fragt passwd nach dem UNIX- und dem Kerberos-Paßwort; wenn jedoch der Parameter try_first_pass im PAM-Modul gesetzt ist, dann wird automatisch das Kerberos-Paßwort identisch mit dem UNIX-Paßwort eingerichtet (das ist die Standard-Konfiguration). In dem Fall muß david mit kpasswd als Kerberos-Paßwort etwas anderes eingeben, wie nachfolgend gezeigt.

Das Beispiel zeigt, wie er nur sein Kerberos-Paßwort mit kpasswd ändert:

% kpasswd
kpasswd: Paßwort ändern für david@ENG.ACME.COM.
Altes Paßwort:           <geben Sie das aktuelle Kerberos-Paßwort ein>
Neues Paßwort:           <geben Sie das neue Kerberos-Paßwort ein>
Neues Paßwort (erneut):  <bestätigen Sie das neue Kerberos-Paßwort>
Kerberos-Paßwort geändert.
 

In diesem Beispiel änderd david das Paßwort für den Kerberos-Hauptbenutzer david/admin (der kein gültiger UNIX-Benutzer ist). Um dies zu tun, muß er den Befehl kpasswd verwenden.

% kpasswd david/admin
kpasswd:  Paßwort ändern für david/admin.
Altes Paßwort:		 <geben Sie das aktuelle Kerberos-Paßwort ein>
Neues Paßwort:           <geben Sie das neue Kerberos-Paßwort ein>
Neues Paßwort (erneut):	 <bestätigen Sie das neue Kerberos-Paßwort>
Kerberos-Paßwort geändert. 
 

Zugangserlaubnis auf ein Konto

Wenn Sie jemandem Zugang auf Ihr Konto geben müssen, damit er/sie sich mit Ihrer ID anmelden kann, dann können Sie das über Kerberos erreichen, ohne Ihr Paßwort preiszugeben, indem Sie eine .k5login -Datei in Ihrem Home-Verzeichnis ablegen. Diese Datei besteht aus einer Liste mit einem oder mehreren Hauptbenutzern, die jeweils der Person, der Sie den Zugang erlauben möchten, zugeordnet werden. (Jeder Hauptbenutzer muß in eine gesonderte Zeile haben.)

Nehmen wir an, daß der Benutzer david eine .k5login-Datei in seinem Home-Verzeichnis führt, deren Inhalt folgendermaßen aussieht:

jennifer@ENG.ACME.COM
joe@ACME.ORG  

Diese Datei erlaubt den Benutzern jennifer und joe, die Identität von david anzunehmen, vorausgesetzt, sie besitzen schon Kerberos-Tickets in ihren jeweiligen Bereichen. So kann zum Beispiel jennifer sich über rlogin auf davids Computer (boston) mit dessen Identiät anmelden, ohne dessen Paßwort eingeben zu müssen:

Abbildung 6-1 Verwendung der .k5login-Datei

In dem Fall, daß davids Home-Verzeichnis ein NFS-Mount von einem anderen (dritten) Computer unter Verwendung der Kerberos V5-Protokolle ist, muß jennifer ein weiterleitbares Ticket haben, damit sie auf das Home-Verzeichnis zugreifen kann. Siehe "So erstellen Sie ein Ticket", um ein Beispiel für die Verwendung eines weiterleitbaren Tickets zu erhalten.

Wenn Sie sich auf anderen Computern im Netzwerk anmelden möchten, sollten Sie Ihren eigenen Kerberos-Hauptbenutzer in den jeweiligen .k5login-Dateien auf diesen Computern eintragen.

Die Verwendung einer .k5login-Datei ist viel sicherer als die Preisgabe Ihres Paßworts:

• Sie können den Zugang jederzeit wieder aufheben, indem Sie den/die Hauptbenutzer aus der Datei .k5login entfernen.

• Obwohl die in .k5login Ihres Home-Verzeichnisses genannten Benutzer vollen Zugriff auf Ihr Konto auf diesem Computer (oder auf eine Gruppe von Computern, wenn die Datei .k5login freigegeben ist, zum Beispiel über NFS) haben, erben Sie nicht Ihre Netzwerk-Privilegien; das heißt, jeder kerberosfähige Service autorisiert den Zugriff auf der Basis der Identität des jeweiligen Benutzers, nicht Ihrer eigenen. So kann jennifer auf joes Computer anmelden und dort Aufgaben erledigen, aber wenn Sie ein mit Kerberos ausgestattetes Programm wie ftp oder rlogin verwendet, tut sie dies mit Ihrer eigenen Identität.

• Kerberos führt ein Protokoll darüber, wer Tickets abruft; daher kann ein Systemverwalter, sofern erforderlich, herausfinden, wer die Fähigkeit hat, Ihre Benutzer-Identität zu einem bestimmten Zeitpunkt zu benutzen.

Eine übliche Art, die Datei .k5login zu benutzen, ist, sie im Home-Verzeichnis von root abzulegen, wodurch root Zugriff auf die für diesen Computer aufgelisteten Kerberos-Hauptbenutzer erhält. Das gibt einem Systemverwalter die Möglichkeit, auf lokaler Ebene root zu werden, oder sich entfernt als root anzumelden, ohne das root-Paßwort ausgeben zu müssen, und ohne daß jemand das root-Paßwort über das Netzwerk eingeben muß.

Beispiel--Verwendung der Datei .k5login

Nehmen wir an, jennifer beschließt, sich auf dem Computer boston.acme.com als root anzumelden. Da Sie einen Eintrag für ihren Hauptbenutzernamen in der Datei .k5login im Home-Verzeichnis von root auf boston.acme.com hat, muß sie wieder nicht ihr Paßwort eingeben:

% rlogin boston.acme.com -l root -x
Diese rlogin-Sitzung verwendet DES-Verschlüsselung für alle Datenübertragungen.  
Letzte Anmeldung: Do. 20. Juni, 16:20:50 h von chrysantheme
SunOS Release 5.7 (GENERIC) #2: Die 14. Nov 18:09:31 h 1998  
boston[root]%