Samba / UCS Passworteinstellungen

german

#1

Für Benutzer-Passworte können im Univention Admin über die Richtline “Passwort” Vorgaben hinsichtlich Mindestlänge und Passwort-Historie vorgenommen werden. Diese Einstellungen wirken sich nur indirekt auf in Windows geänderte Passworte aus.

Hintergrund: Samba nimmt die Passwort-Änderungen von Windows-Clients entgegen und gibt sie an Univention Admin weiter. In Univention Admin wird die Richtlinie “Passwort” ausgewertet und falls diese verletzt wird, etwa bei zu kurzem Passwort, wird die Passwort-Änderung zurückgewiesen. Samba gibt an den Windows-Client die Meldung “Sie haben keine Berechtigung, das Passwort zu ändern” zurück.

Damit von Samba aussagekräftige Fehlermeldungen an den Client zurückgegeben werden, können in der Samba-Konfiguration einige Einstellungen hinsichtlich Passwort-Eigenschaften vorgenommen werden. Dazu muss im Univention Admin ein Objekt vom Typ “Samba Konfiguration” angelegt werden.

Klicken Sie im Univention Admin auf “Navigation”, öffnen Sie in der Liste den Container “samba”. Wählen Sie aus dem Menü “Neues Objekt an aktueller Position hinzufügen” den Eintrag “Einstellungen: Samba-Konfiguration”. Tragen Sie den Namen der von UCS verwalteten Samba Domäne als Namen für das Objekt ein. Der verwendete Name ist in der Univention Baseconfig Variable “windows/domain” gespeichert.

# univention-baseconfig get windows/domain

Tragen Sie unter “Samba Passwort Länge” den Wert ein,der auch in der Richtlinie “Passwort” verwenden, die Voreinstellung in der Richtlinie ist ‘8’. Tragen Sie unter “Samba Passwort Historie” den Wert ein, der auch in der Richtlinie Passwort verwendet wird, die Voreinstellung in der Richtlinie ist ‘3’. Speichern Sie die Einstellungen durch Klick auf ‘Ok’. Um eine spätere Fehlersuche zu vereinfachen, sollten die Einstellungen in der Richtlinie “Passwort” und im Objekt “Samba-Konfiguration” identisch sein.

Bei den nächsten Passwort-Änderungen an Windows-Rechnern wird bei Verletzung der Einstellung eine entsprechende Fehlermeldung ausgegeben.


#2

Hallo,

die Fehlermeldungen bei abgelehnter Passwortänderung über Samba funktionieren bei uns nur zur Hälfte. Verwendet man ein neues, aber zu kurzes Passwort, erscheint nach ein paar Sekunden ein Hinweis auf Passwortlänge, History, usw. So soll es sein.

Gibt man aber ein Passwort ein, das zuletzt schon genutzt wurde, dauert es sehr lange (bis zu einer Minute), bis die Fehlermeldung erscheint: “Sie haben keine Berechtigung, ihr Passwort zu ändern”. In dem Objekt Samba Konfiguration ist bei History 3 eingetragen. Müsste da nicht eigentlich der selbe Hinweis auf die Policy erscheinen, wie im ersten Fall?


#3

Guten Tag,

[quote=“tiecoman”]Hallo,

Gibt man aber ein Passwort ein, das zuletzt schon genutzt wurde, dauert es sehr lange (bis zu einer Minute), bis die Fehlermeldung erscheint: “Sie haben keine Berechtigung, ihr Passwort zu ändern”. In dem Objekt Samba Konfiguration ist bei History 3 eingetragen. Müsste da nicht eigentlich der selbe Hinweis auf die Policy erscheinen, wie im ersten Fall?[/quote]

Vielen Dank für den Bugreport. Wir konnten dieses Problem nachstellen und werden es in einer kommenden Version beheben. Nach unseren Tests funktioniert die Fehlermeldung erst nachdem das Passwort so oft geändert wurde die Passwort-Historie konfiguriert wurde.

Mit freundlichen Grüßen,

    Moritz Mühlenhoff