Änderung von Benutzer-Passwörtern in Univention Admin

german

#1

In der Vergangenheit konnten Benutzer ihre Passwörter nur am Windows Client oder auf UCS Systemen mit dem Befehl ‘passwd’ ändern. Seit UCS 1.3-1 können Benutzer ihre Passwörter direkt in Univention Admin ändern.

Der Schreibzugriff auf den Verzeichnisdienst des Managementsystems werden über Zugriffsregeln in der Konfiguration des OpenLDAP-Dienstes verwaltet. Standardmäßig sind nur Mitglieder der Gruppe ‘Domain Admins’ berechtigt, Änderungen in Univention Admin vorzunehmen. Damit ein Benutzer schreibend auf sein Passwort im Verzeichnisdienst zugreifen darf, muss über die Univention Baseconfig Variable ldap/acl/user/password/change eine entsprechende Regel aktiviert werden. Führen Sie auf dem Domaincontroller Master folgendes Kommando zum Setzen der Univention Baseconfig Variable aus:

# univention-baseconfig set ldap/acl/user/password/change=yes

Danach muss der Verzeichnisdienst auf dem Domaincontroller Master neu gestartet werden:

# /etc/init.d/slapd restart

Nach diesen Anpassungen können normale Benutzer sich in ihrem Browser über die URL univention-admin oder die entsprechende IP-Adresse des Domaincontroller Master an Univention Admin anmelden und ihr Passwort ändern. Die Änderung des Passwortes wirkt sich unmittelbar auf den Systemen der UCS Umgebung aus.

Es ist bei der Aktivierung der Univention Baseconfig Variable ldap/acl/user/password/change zu beachten, dass der Benutzer neben Zugriff auf sein Benutzerpasswort auch Zugriff auf Attribute wie Passwort-History erhält. Dieser Zugriff ist erforderlich, damit bei der Änderung des Passwortes in Univention Admin durch den Benutzer selbst diese Felder akualisiert werden können. Daraus ergibt sich aber auch, dass der Benutzer über andere LDAP-Clients unmittelbar auf diese Attribute zugreifen und diese manipulieren kann.