Nachvollziehen der Vorgänge bei Passwortänderung

german

#1

Es gibt unterschiedliche Gründe, aus denen die Passwortänderung eines Benutzers
fehlschlagen kann.

Häufig ist der Fehler darauf zurückzuführen, dass die eingegebenen Passwörter
nicht den Passwort-Richtlinien der Benutzer entsprechen. (Mindestpasswortlänge,
Nach wieviel unterschiedlichen Passwörtern darf ein Passwort wiederverwendet
werden) Die Einstellungen können im Univention Admin am Benutzer-Objekt
überprüft werden (Reiter [Passwort]).

Um den Vorgang bei der Passwortänderung genauer zu verfolgen, können
folgende Anpassungen in Absprache mit einem Mitarbeiter, der sein Passwort
ändern will, als ‘root’ auf dem Domaincontroller Master vorgenommen werden:

Der Kerberos Passwort-Dienst kann den Vorgang der Passwort-Änderung
protokollieren. Bei dieser Protokollierung wird das Passwort des Benutzers in
wiederherstellbarer Form in der Log-Datei gespeichert. Der Benutzer sollte
daher kein Passwort eingeben, dass er später tatsächlich verwenden will. Die
Anpassung sollten nach Abschluss der Überprüfung wieder zurückgenommen werden.

  1. Die Datei /var/log/univention/kpasswdd.log kann mit dem Befehl
# touch /var/log/univention/kpasswdd.log 

angelegt werden.

  1. Danach wird der Kerberos-Dienst neu gestartet:
# /etc/init.d/heimdal-kdc restart 
  1. Der Benutzer soll sein Passwort ändern.

  2. Sobald die Passwortänderung beendet ist (mit oder ohne Erfolg), wird die
    Log-Datei verschoben

# mv /var/log/univention/kpasswdd.log /root/kpasswdd.log 
  1. Danach muss der Kerberos-Dienst neu gestartet werden:
# /etc/init.d/heimdal-kdc restart 

Das Mitschreiben ist jetzt wieder deaktiviert.

In der Log-Datei finden sich z.B. die Ausgaben
[ul]
[li]Die minimale Passwortlänge für den Benutzer (z.B. “Set pw length to 14”) [/li]
[li]Die Länge der Passworthistory für den Benutzer (z.B. “Set pwhistory length to
3”) [/li]
[li]“Password is too short” oder “Password is not too short” [/li]
[li]“Password not used before” oder “Password used before” [/li][/ul]

Die entsprechenden Ausgaben geben also einen Hinweis, wo der Fehler zu suchen
ist.