Sun Enterprise Authentication Mechanism Handbuch

Ändern eines Paßworts

Sie können Ihr Kerberos-Paßwort auf zwei Arten ändern:

Mit dem üblichen UNIX-Befehl passwd. Wenn SEAM installiert ist, fragt der Solaris-Befehl passwd automatisch auch nach einem neuen Kerberos-Paßwort.

Der Vorteil bei der Verwendung von passwd anstelle von kpasswd liegt darin, daß Sie beide Paßwörter (UNIX und Kerberos) zur selben Zeit festlegen können. Im allgemeinen müssen Sie jedoch nicht beide Paßwörter mit passwd ändern; oft können Sie einfach Ihr UNIX-Paßwort ändern und das Kerberos-Paßwort unverändert lassen und umgekehrt.

Hinweis -
Das Verhalten von passwd hängt davon ab, wie das PAM-Modul konfiguriert ist. In manchen Konfigurationen könnte es erforderlich sein, beide Paßwörter zu ändern. Für manche Sites muß das UNIX-Paßwort geändert werden, während andere verlangen, daß Sie das Kerberos-Paßwort ändern.
Der Befehl kpasswd ähnelt sehr dem Befehl passwd. Ein Unterschied ist, daß kpasswd nur Kerberos-Paßwörter ändert: Sie müssen passwd verwenden, um Ihr UNIX-Paßwort zu ändern.

Ein weiterer Unterschied ist, daß kpasswd das Paßwort für einen Kerberos-Hauptbenutzer ändern kann, der kein gültiger UNIX-Benutzer ist. So ist zum Beispiel david/admin ein Kerberos-Hauptbenutzer, aber kein eigentlicher UNIX-Benutzer, weswegen Sie den Befehl kpasswd anstelle von passwd verwenden müssen.

Nachdem Sie Ihr Paßwort geändert haben, dauert es einige Zeit, bis die Änderung sich durch ein System vervielfältigt hat (besonders, wenn es sich um ein großes Netzwerk handelt). Abhängig davon, wie Ihr System eingerichtet ist, könnte das etwa einige Minuten bis zu einer Stunde und länger dauern. Wenn Sie kurz nach dem Ändern Ihres Paßworts neue Kerberos-Tickets abrufen müssen, versuchen Sie das neue Paßwort zuerst. Wenn das neue Paßwort nicht funktioniert, versuchen Sie es noch einmal mit dem alten.

Kerberos V5 erlaubt Systemverwaltern, Kriterien über zulässige Paßwörter pro Benutzer festzulegen. Solche Kriterien werden durch die Richtlinie definiert, die für jeden Benutzer eingerichtet ist (oder durch eine Standard-Richtlinie); siehe "Verwalten von Richtlinien", um mehr über Richtlinien zu erfahren. Nehmen wir zum Beispiel an, daß die Benutzerin jennifer eine Richtlinie (mit dem Namen jenpol) festgelegt hat, die verlangt, daß Paßwörter wenigstens acht Buchstaben lang und eine Mischung von wenigstens zwei Arten von Zeichen enthalten muß. Daher weist kpasswd den Versuch zurück, "penner" als Paßwort zu verwenden.

% kpasswd
kpasswd: Paßwort ändern für jennifer@ENG.ACME.COM.
Altes Paßwort:   <jennifer gibt Ihr bestehendes Paßwort ein>
kpasswd: Das Paßwort von jennifer@ENG.ACME.COM wird durch die 
Richtlinie jenpol kontrolliert, 
die wenigstens 8 Zeichen aus mindestens 2 Klassen verlangt 
(die 5 Klassen sind Kleinbuchstaben, Großbuchstaben, Interpunktion 
und alle anderen Zeichen).
Neues Paßwort: <jennifer gibt 'penner' ein>
Neues Paßwort (erneut):  <jennifer gibt nochmals 'penner' ein>>
kpasswd: Neues Paßwort ist zu kurz.
Bitte wählen Sie ein Paßwort, das wenigstens 8 Zeichen lang ist.

Im folgenden Beispiel verwendet jennifer "faulPelz008" als Paßwort. Das erfüllt die Kriterien, weil es länger als 8 Zeichen ist und wenigstens zwei Arten von Zeichen (Kleinbuchstaben, Großbuchstabe, Zahlen) enthält.

% kpasswd
kpasswd: Paßwort ändern für jennifer@ENG.ACME.COM.
Altes Paßwort:  <jennifer gibt Ihr bestehendes Paßwort ein>
kpasswd: Das Paßwort von jennifer@ENG.ACME.COM wird durch die 
Richtlinie jenpol kontrolliert, 
die wenigstens 8 Zeichen aus mindestens 2 Klassen verlangt 
(die 5 Klassen sind Kleinbuchstaben, Großbuchstaben, Interpunktion 
und alle anderen Zeichen).
Neues Paßwort:  <jennifer gibt 'faulPelz008' ein>
Neues Paßwort (erneut):  <jennifer gibt noch einmal 'faulPelz008' ein>
Kerberos-Paßwort geändert.

Beispiele -- Ändern des Paßworts

Das folgende Beispiel zeigt, wie david sein UNIX- und auch sein Kerberos-Paßwort mit passwd ändert.

% passwd
	passwd:  Paßwort ändern für david.
	Geben Sie Anmeldepaßwort (NIS+) ein:  <geben Sie das aktuelle UNIX-Paßwort ein>
	Neues Paßwort:                        <geben Sie das neue UNIX-Paßwort ein>
	Geben Sie das Paßwort erneut ein:     <bestätigen Sie das neue UNIX-Paßwort>
	Altes KRB5-Paßwort:                   <geben Sie das aktuelle Kerberos-Paßwort ein>
	Neues KRB5-Paßwort:                   <geben Sie das neue Kerberos-Paßwort ein>
	Geben Sie das neue KRB5-Paßwort erneut ein: <bestätigen Sie das neue KRB5-Paßwort>

Im obigen Beispiel fragt passwd nach dem UNIX- und dem Kerberos-Paßwort; wenn jedoch der Parameter try_first_pass im PAM-Modul gesetzt ist, dann wird automatisch das Kerberos-Paßwort identisch mit dem UNIX-Paßwort eingerichtet (das ist die Standard-Konfiguration). In dem Fall muß david mit kpasswd als Kerberos-Paßwort etwas anderes eingeben, wie nachfolgend gezeigt.

Das Beispiel zeigt, wie er nur sein Kerberos-Paßwort mit kpasswd ändert:

% kpasswd
kpasswd: Paßwort ändern für david@ENG.ACME.COM.
Altes Paßwort:           <geben Sie das aktuelle Kerberos-Paßwort ein>
Neues Paßwort:           <geben Sie das neue Kerberos-Paßwort ein>
Neues Paßwort (erneut):  <bestätigen Sie das neue Kerberos-Paßwort>
Kerberos-Paßwort geändert.

In diesem Beispiel änderd david das Paßwort für den Kerberos-Hauptbenutzer david/admin (der kein gültiger UNIX-Benutzer ist). Um dies zu tun, muß er den Befehl kpasswd verwenden.

% kpasswd david/admin
kpasswd:  Paßwort ändern für david/admin.
Altes Paßwort:		 <geben Sie das aktuelle Kerberos-Paßwort ein>
Neues Paßwort:           <geben Sie das neue Kerberos-Paßwort ein>
Neues Paßwort (erneut):	 <bestätigen Sie das neue Kerberos-Paßwort>
Kerberos-Paßwort geändert.