Einschränkungen zur Passwortsicherheit ändern

nilx · 24. Mai 2022 um 10:54

Hallo zusammen!
Wir würden gerne die Einschränkungen zur Passwortsicherheit ändern. Also wie lang das Passwort sein muss, ob Groß-/Kleinschreibung, Nummern, Sonderzeichen und auch welche Sonderzeichen möglich sind.

Ihr denkt jetzt wahrscheinlich, dass wir es sicherer machen möchten. Das ist aber nicht der Fall. Wir sind eine Grundschule und die Vorgaben sind für die meisten Kinder zu hart. Das sorgt aktuell dafür, dass niemand mit den Geräten arbeiten möchte. Um Sicherheit müssen wir uns hier auch keine Sorgen machen. Die Kinder bei uns legen keine wichtigen Daten an, die durch komplexe Passwörter zu schützen sind.

Gibt es eine Möglichkeit diese Einschränkungen anzupassen?

Vielen Dank schon mal im Voraus.

Liebe Grüße!
Nils

Arnaud · 24. Mai 2022 um 11:02

Hallo Nils,

Das ist ein großes Thema und auch eine große Baustelle, und das war mal schon hier im Forum diskutiert. Momentan kenne ich keinen einfahren Weg um die Passwort Komplexität anzupassen.
Es soll erst mal im samba konfiguriert (glaube ich mit samba-tool domain passwordsettings pso), dann soll wahrscheinlich sophomorix angepasst und werden, und zum Schluss die Webui.

Das Backend in linuxmuster.net ist noch nicht so weit um es einfach zu konfigurieren, aber es ist auf unsere TODO-Liste, vielleicht können die andere @entwickler etwas dazu sagen.

Gruß

Arnaud

baumhof · 24. Mai 2022 um 13:02

Hallo Nils,

wie Arnaud schon sagt: einfach die Komplexität der Passwörter für den
Endbenutzer heruntersetzen geht nicht, da es zwei Schichten sind:

samba selbst
die WebUI

Wie du das in samba einstellst, steht hier:

unter Punkt
3. Create file sophomorix.add and add these users

unter
4. Import the hashed passwords into AD
steht dann wie man das zurücksetzen kann (wenn man will).

Hast du das gesetzt, dann kannst du per sophomorix-passwd -u USERNAME
-passwd=GEHEIM!
einfachere Passwörter vergeben.
Unter Windows sollte dann über den Dialog strg+alt+entf → Passwort ändern
auch einfachere Möglich sein.
Aber in der WebUI nicht, da diese selber die Komplexität checkt.

LG

Holger

wilfried · 26. Mai 2022 um 08:35

Hallo Nils,
ich weiß es nicht 100prozentig, meine aber der global-admin kann für andere auch einfachere Passwörter festsetzen. Wäre, wenn es ginge, halt viel Arbeit.
Viele Grüße Wilfried

nilx · 31. Mai 2022 um 09:06

Vielen Dank für all eure Antworten!

@Arnaud Ich bin großer Fan davon, dass es jetzt schon auf der ToDo-Liste steht.

@wilfried Ja, das wäre in unserem Fall zu viel Arbeit.

@baumhof Durch deine Infos konnte ich die Passwort Komplexität und Passwortlänge anpassen und mit dem Befehl …

sophomorix-passwd -u user --pass=password

… ein gewünscht schwaches Passwort erstellen, mit dem ich mich dann auch an Windows anmelden konnte. Deine Variante mit „-passwd“ am Ende läuft auf einen Fehler aber ich konnte ja in der Hilfe schnell sehen wie es geht.

Leider funktioniert bei uns das Ändern des Passwortes über den strg-alt-entf Dialog nicht. Bei jedem Versuch, auch wenn man ein wirklich komplexes, noch nicht genutztes, langes Passwort benutzt, wird folgende Meldung angezeigt:

Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des Kennworts und die Anforderungen bezüglich früherer Kennwörter.

Hätte jemand eine Idee, wie ich das Problem lösen kann? Ohne diese Möglichkeit wäre es, genau wie die Passwörter mit dem global-admin zu ändern, einfach zu viel Aufwand.

[EDIT]: Es hat jetzt funktioniert. Bei uns war noch der Standard eingestellt, dass Passwörter ein Mindesalter von einem Tag haben müssen. Das habe ich gerade mit diesem Befehl geändert:

samba-tool domain passwordsettings set --min-pwd-age=0

[/EDIT]

Viele Grüße
Nils

baumhof · 31. Mai 2022 um 10:10

Hallo Nils,

Das Kennwort kann nicht aktualisiert werden. Der Wert, der als neues
Kennwort angegeben wurde, entspricht nicht den Kennwortrichtlinien
der Domäne. Überprüfen Sie die Kennwortlänge, die Komplexität des
Kennworts und die Anforderungen bezüglich früherer Kennwörter.

hast du die Passwortanforderungen wie in meinem Link beschrieben danach
wieder hoch gesetzt?

Falls nein, dass, denke ich, mußt du die Passwortanforderungen per GPO
verteilen.
An der Stelle wirds dann aber kompliziert.

LG
Holger

nilx · 31. Mai 2022 um 10:23

Hallo Holger,
das ist in meinem letzten Post untergegangen, da ich es erst gerade hinzugefügt habe.

Ich kann die Kennwörter jetzt über den strg-alt-entf Dialog ändern. Das Problem war das standardmäßige Kennwort-Mindestalter von 1 Tag. Das habe ich jetzt auf 0 gesetzt und konnte dann das Kennwort ändern. Hätte also morgen auch ohne diese Änderung funktioniert.

Ich kann jetzt alle Einschränkungen so anpassen wie ich es möchte und die Kennwörter können einfach von jeder Schüler*in selbst geändert werden.

Das passt so für uns. Vielen Dank noch mal!

Gruß Nils