Passwörter global zurücksetzen

german

#1

Hallo zusammen,

wir wollen zukünftig einen UCS-Server einsetzen.
Nach umfangreichen Tests wollen wir jetzt in den Echtbetrieb wechseln.
Vorher müssen wir aber alle Passwörter der User auf ein Startpasswort zurücksetzten,
welches die Anwender nach der Serverumstellung einmalig eingeben sollen.
Anschließend sollen sie aufgefordert werden, ein eigenes Passwort zu vergeben.
Da wir die Passwörter einiger Anwender während der Testphase verändert haben, sind sie nicht mehr einheitlich.
Wie kann man für alle Anwender ein Passwort vergeben, welches bei der ersten Anmeldung geändert werden muss?

Schönen Dank im voraus für die Unterstützung

M. Sendel


#2

Hallo,

[quote=“dthfan”]
Vorher müssen wir aber alle Passwörter der User auf ein Startpasswort zurücksetzten,
welches die Anwender nach der Serverumstellung einmalig eingeben sollen.
Anschließend sollen sie aufgefordert werden, ein eigenes Passwort zu vergeben.
Da wir die Passwörter einiger Anwender während der Testphase verändert haben, sind sie nicht mehr einheitlich.
Wie kann man für alle Anwender ein Passwort vergeben, welches bei der ersten Anmeldung geändert werden muss?[/quote]

Dies lässt sich mit der Kommandozeilen Variante des Univention Directory Manager und einem kleinen Skript in wenigen Schritten auch für viele Benutzer realisieren. Dafür suchen Sie sich die Liste der LDAP-DNs der Benutzer heraus. Beispielweise mit folgendem Befehl:

ldapsearch -x objectClass=posixAccount dn -LLL  | grep -v '^$'

Mit diesen LDAP-DNs kann dann mit dem Univention Directory Manager das Passwort auf einen initialen Wert gesetzt werden und eine Änderung des Passworts bei der nächsten Anmeldung erzwungen werden:

univention-directory-manager users/user modify --dn <LDAP-DN eines Benutzers> --set password=secret1234 --set pwdChangeNextLogin=1

Dabei sollte sichergestellt werden, dass Systemkonten wie Administrator, join-backup, join-slave und spam nicht mit verändert werden.

Alternativ kann dies auch über das Web-Frontend von Univention Directory Manager durchgeführt werden. Dafür kann man die Benutzer-Objekte im Assistenten suchen, dann alle auswählen (auch hier sind die Systemkonten auszulassen) und anschließend die Funktion ‘Bearbeiten’ wählen. In der Bearbeitungsmaske muss dann das Passwort auf den entsprechen den Wert (Reiter Allgemein) und der Haken bei ‘Passwort bei der nächsten Anmeldung ändern’ (Reiter Benutzer-Konto) gesetzt werden. Dabei ist zu beachten, dass der Haken bei ‘überschreiben’ an beiden Felder zu setzen ist.

Mit freundlichen Grüßen
Andreas Büsching