Es gibt unterschiedliche Gründe, aus denen die Passwortänderung eines Benutzers
fehlschlagen kann.
Häufig ist der Fehler darauf zurückzuführen, dass die eingegebenen Passwörter
nicht den Passwort-Richtlinien der Benutzer entsprechen. (Mindestpasswortlänge,
Nach wieviel unterschiedlichen Passwörtern darf ein Passwort wiederverwendet
werden) Die Einstellungen können im Univention Admin am Benutzer-Objekt
überprüft werden (Reiter [Passwort]).
Um den Vorgang bei der Passwortänderung genauer zu verfolgen, können
folgende Anpassungen in Absprache mit einem Mitarbeiter, der sein Passwort
ändern will, als ‘root’ auf dem Domaincontroller Master vorgenommen werden:
Der Kerberos Passwort-Dienst kann den Vorgang der Passwort-Änderung
protokollieren. Bei dieser Protokollierung wird das Passwort des Benutzers in
wiederherstellbarer Form in der Log-Datei gespeichert. Der Benutzer sollte
daher kein Passwort eingeben, dass er später tatsächlich verwenden will. Die
Anpassung sollten nach Abschluss der Überprüfung wieder zurückgenommen werden.
- Die Datei /var/log/univention/kpasswdd.log kann mit dem Befehl
# touch /var/log/univention/kpasswdd.log angelegt werden.
- Danach wird der Kerberos-Dienst neu gestartet:
# /etc/init.d/heimdal-kdc restart -
Der Benutzer soll sein Passwort ändern.
-
Sobald die Passwortänderung beendet ist (mit oder ohne Erfolg), wird die
Log-Datei verschoben
# mv /var/log/univention/kpasswdd.log /root/kpasswdd.log - Danach muss der Kerberos-Dienst neu gestartet werden:
# /etc/init.d/heimdal-kdc restart Das Mitschreiben ist jetzt wieder deaktiviert.
In der Log-Datei finden sich z.B. die Ausgaben
[ul]
[li]Die minimale Passwortlänge für den Benutzer (z.B. “Set pw length to 14”) [/li]
[li]Die Länge der Passworthistory für den Benutzer (z.B. “Set pwhistory length to
3”) [/li]
[li]“Password is too short” oder “Password is not too short” [/li]
[li]“Password not used before” oder “Password used before” [/li][/ul]
Die entsprechenden Ausgaben geben also einen Hinweis, wo der Fehler zu suchen
ist.