Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Ändern eines Passworts

Sie können Ihr Kerberos-Passwort auf zwei Arten ändern:

Mit dem üblichen UNIX-Befehl passwd. Wenn SEAM installiert ist, fragt der Solaris-Befehl passwd automatisch auch nach einem neuen Kerberos-Passwort.

Der Vorteil bei der Verwendung von passwd anstelle von kpasswd liegt darin, dass Sie beide Passwörter (UNIX und Kerberos) zur selben Zeit festlegen können. Im Allgemeinen müssen Sie jedoch nicht beide Passwörter mit passwd ändern; oft können Sie einfach Ihr UNIX-Passwort ändern und das Kerberos-Passwort unverändert lassen oder umgekehrt.

Hinweis -
Das Verhalten von passwd hängt davon ab, wie das PAM-Modul konfiguriert ist. In manchen Konfigurationen könnte es erforderlich sein, beide Passwörter zu ändern. Für manche Sites muss das UNIX-Passwort geändert werden, während andere verlangen, dass Sie das Kerberos-Passwort ändern.
Der Befehl kpasswd ähnelt sehr dem Befehl passwd. Ein Unterschied ist, dass kpasswd nur Kerberos-Passwörter ändert: Sie müssen passwd verwenden, um Ihr UNIX-Passwort zu ändern.

Ein weiterer Unterschied ist, dass kpasswd das Passwort für einen Kerberos-Hauptbenutzer ändern kann, der kein gültiger UNIX-Benutzer ist. So ist zum Beispiel david/admin ein Kerberos-Hauptbenutzer, aber kein UNIX-Benutzer, weswegen Sie den Befehl kpasswd anstelle von passwd verwenden müssen.

Nachdem Sie Ihr Passwort geändert haben, dauert es einige Zeit, bis die Änderung sich durch ein System vervielfältigt hat (besonders, wenn es sich um ein großes Netzwerk handelt). Abhängig davon, wie Ihr System eingerichtet ist, könnte das etwa einige Minuten bis zu einer Stunde und länger dauern. Wenn Sie kurz nach dem Ändern Ihres Passworts neue Kerberos-Tickets abrufen müssen, versuchen Sie das neue Passwort zuerst. Wenn das neue Passwort nicht funktioniert, versuchen Sie es noch einmal mit dem alten.

Kerberos V5 erlaubt Systemverwaltern, Kriterien über zulässige Passwörter pro Benutzer festzulegen. Solche Kriterien werden durch die Richtlinie definiert, die für jeden Benutzer eingerichtet ist (oder durch eine Standard-Richtlinie); Weitere Informationen zu Richtlinien finden Sie unter "Verwalten von Richtlinien". Nehmen wir zum Beispiel an, dass die Benutzerin jennifer eine Richtlinie (mit dem Namen jenpol) festgelegt hat, die verlangt, dass Passwörter wenigstens acht Zeichen lang sein müssen und mindestens zwei unterschiedliche Zeichenarten enthalten muss. In diesem Fall weist kpasswd den Versuch zurück, "penner" als Passwort zu verwenden.

% kpasswd
kpasswd: Passwort ändern für jennifer@ENG.ACME.COM.
Altes Passwort:   <jennifer gibt Ihr bestehendes Passwort ein>
kpasswd: Das Passwort von jennifer@ENG.ACME.COM wird von 
einer Richtlinie gesteuert, nach der mindestens 8 Zeichen 
mit mindestens zwei unterschiedlichen Zeichenarten erforderlich 
sind (die fünf Zeichenarten sind Grußbuchstaben, Kleinbuchstaben, 
Zahlen, Satzzeichen und alle anderen Zeichen).
Neues Passwort: <jennifer gibt 'penner' ein>
Neues Passwort (erneut):  <jennifer gibt nochmals 'penner' ein>>
kpasswd: Neues Passwort ist zu kurz.
Bitte wählen Sie ein Passwort, das mindestens 8 Zeichen umfaßt.

Im folgenden Beispiel verwendet jennifer "faulPelz008" als Passwort. Das erfüllt die Kriterien, weil es länger als 8 Zeichen ist und wenigstens zwei Arten von Zeichen (Kleinbuchstaben, Großbuchstabe, Zahlen) enthält.

% kpasswd
kpasswd: Passwort ändern für jennifer@ENG.ACME.COM.
Altes Passwort:  <jennifer gibt Ihr bestehendes Passwort ein>
kpasswd: Das Passwort von jennifer@ENG.ACME.COM wird von 
einer Richtlinie gesteuert, nach der mindestens 8 Zeichen 
mit mindestens zwei unterschiedlichen Zeichentypen erforderlich 
sind (die fünf Zeichentypen sind Grußbuchstaben, Kleinbuchstaben, 
Zahlen, Satzzeichen und alle anderen Zeichen).
Neues Passwort:  <jennifer gibt 'faulPelz008' ein>
Neues Passwort (erneut):  <jennifer gibt noch einmal 'faulPelz008' ein>
Kerberos-Passwort geändert.

Beispiele -- Ändern des Passworts

Das folgende Beispiel zeigt, wie david sein UNIX- und auch sein Kerberos-Passwort mit passwd ändert.

% passwd
	passwd:  Passwort ändern für david.
	Geben Sie Anmeldepasswort (NIS+) ein:         <geben Sie das aktuelle UNIX-Passwort ein>
	Neues Passwort:                        <geben Sie das neue UNIX-Passwort ein>
	Geben Sie das Passwort erneut ein:            <bestätigen Sie das neue UNIX-Passwort>
	Altes KRB5-Passwort:                   <geben Sie das aktuelle Kerberos-Passwort ein>
	Neues KRB5-Passwort:                   <geben Sie das neue Kerberos-Passwort ein>
	Geben Sie das neue KRB5-Passwort erneut ein: <bestätigen Sie das neue Kerberos-Passwort>

Im obigen Beispiel fragt passwd nach dem UNIX- und dem Kerberos-Passwort; wenn jedoch der Parameter try_first_pass im PAM-Modul gesetzt ist, dann wird automatisch das Kerberos-Passwort identisch mit dem UNIX-Passwort eingerichtet. (Dies ist die Standardkonfiguration.) In diesem Fall muss david mit kpasswd das Kerberos-Passwort ändern, wie nachfolgend gezeigt.

Das Beispiel zeigt, wie er nur sein Kerberos-Passwort mit kpasswd ändert:

% kpasswd
kpasswd: Passwort ändern für david@ENG.ACME.COM.
Altes Passwort:           <geben Sie das aktuelle Kerberos-Passwort ein>
Neues Passwort:           <geben Sie das neue Kerberos-Passwort ein>
Neues Passwort (erneut):   <bestätigen Sie das neue Kerberos-Passwort>
Kerberos-Passwort geändert.

In diesem Beispiel ändert david das Passwort für den Kerberos-Hauptbenutzer david/admin (der kein gültiger UNIX-Benutzer ist). Um dies zu tun, muss er den Befehl kpasswd verwenden.

% kpasswd david/admin
kpasswd:  Passwort ändern für david/admin.
Altes Passwort:		   	     <geben Sie das aktuelle Kerberos-Passwort ein>
Neues Passwort:			       <geben Sie das neue Kerberos-Passwort ein>
Neues Passwort (erneut):	   <bestätigen Sie das neue Kerberos-Passwort>
Kerberos-Passwort geändert.