Richtline greift nicht

pixel · April 4, 2018, 12:22pm

Hallo zusammen,

ich habe vor einer Weile auf einer UCS-Installation Passwort-Richtlinien eingerichtet:

Name: default-setting
Passwort-Länge: 8
Passwort-Ablaufintervall: 30
History-Länge: 5
[x] Passwort-Qualitätsprüfung

und diese Richtline bei den Benutzern unter Richtline zugeordnet. Wenn ich nun in den Benutzern mit dieser Richtlinie unter Konto schaue steht da:

Passwort-Ablaufdatum = 31.03.2018

Das war also über Ostern. Als hier nach dem Ostermontag angefangen wurde wurde jedoch keiner der Nutzer zur Passwort-Änderung aufgefordert.

Was mache ich falsch?

Viele Grüße
Sven

Moritz_Bunkus · April 4, 2018, 12:35pm

Huhu,

leider müssen Passwortrichtlinien an mehreren Stellen gesetzt werden, damit sie in allen Szenarien greifen. Siehe:

pixel · April 10, 2018, 4:12pm

Bevor ich mir jetzt irgend etwas “verkonfiguriere”. Ich gehe im LDAP-Verzeichnis auf die Domäne und setzte hier jetzt:

Maximales Passwortalter = 60 Tage

… Dann sollte es klappen?

externa1 · April 10, 2018, 5:10pm

wenn es ein Samba AD ist dann unter LDAP - SAMBA - Domäne bearbeiten

pixel · April 11, 2018, 9:49am

Ja, ist es. Ok ich setze den o.g. Wert heute Abend (wen alle Feierabend haben) auf 30 Tage (60 war ein Tippfeler).

pixel · April 17, 2018, 5:41am

Hat funktioniert. Danke!

Reicht es dann prinzipiell diese Einstellung im LDAP am Domänen-Objekt vorzunehmen? Sprich: Muss ich im Benutzer gar nichts einstellen?

externa1 · April 17, 2018, 8:12am

Ja das reicht - bei meinen Installationen zumindest habe ich sonst keine settings gemacht - in der ldap policy sollte das aber auf die gleichen Werte eingestellt werden - sonst kann es sein das das Kennwort dort eventuell schon früher abläuft - das hatte ich schonmal

lg
Christian

pixel · April 18, 2018, 6:50am

ok, dann entferne ich die Settings in den Usern lieber wieder. Danke!

pixel · April 20, 2018, 1:28pm

Haben noch eine Frage zu dem System. Über die Domäne habe ich nun definiert:

max Passwort-Alter: 30 Tage

Nun habe ich aber Systemuser wie z.B. “scanner” mit einem Passwort dass sich nicht ändern soll. Dies ist an allen Multifunktionsgeräten hinterlegt. Damit scannen die Geräte in eine gesonderte Freigabe.

Diese sollen hiervon ausgenommen werden. Wie mache ich das?

Viele Grüße
Sven

pixel · May 16, 2018, 9:07am

ich versuche gerade mich tiefergehend mit den Richtlinie auseinanderzusetzen.

Wie oben beschrieben habe ich die den Passwort-Ablauf-Intervall über die Eigenschaften des LDAP-Objektes für die Samba-Domäne gesetzt.

Aus den ersten versuchen - bei welchen ich es über die Richtline “… policies/users/pwhistory” versucht habe - ist diese Richtline noch mit den Benutzer-Objekten verknüpft.

Diese Zuordnung sollte ich ja entfernen können, oder?