Passwörter ändern

Tobias · 4. Oktober 2019 um 20:58

Ich passe meine Zusammenfassung mal an:

Hallo zusammen,

nach längerer Recherche fasse ich mal zusammen zum Thema Passwortänderung:

Man soll mit Linuxclient oder Windowsclient Bordmitteln das Passwort ändern, was die Schüler angeht. Die Lehrer können das auch in der Schulkonsole.

Die Schüler können das auch in der Schulkonsole, wenn man das in der DAtei /usr/lib/linuxmuster-webui/plugins/lmn_auth/api.py patched und (sophomorixRole=student) zur Liste der erlaubten hinzufügt. Das brauchen z.B. Tabletklassen.

   #!/bin/bash
   sed -i "s/(sophomorixRole=schooladministrator) /(sophomorixRole=schooladministrator)   (sophomorixRole=student) /" /usr/lib/linuxmuster-webui/plugins/lmn_auth/api.py
   echo -n "Check if student is in filter: "
   grep student /usr/lib/linuxmuster-webui/plugins/lmn_auth/api.py >/dev/null && echo ok
   echo "Restarting Schulkonsole/WebUI"
   systemctl restart linuxmuster-webui

Eigentlich legt sophomorix die Regeln fest, die bisher für mich lauteten (konfigurierbar):
- mind. 7 Zeichen,
- mind. 1 Großbuchstaben,
- mind. 1 Kleinbuchstaben,
- mind. 1 Zahl oder Sonderzeichen von ! § + - @ # $ % & * ( )[ ]{ } Das „§“ wird gerade hier diskutiert.
Aber: der Samba/AD hat auch seine Regeln (https://ask.linuxmuster.net/t/lml7-minimum-password-age/792) und die lauten:
- nicht eines der letzten 24 Passwörter verwenden
- wenn du vor kurzem dein Passwort geändert hast, darfst du das nicht nochmal
- es gibt ein maximales Passwortalter (bei mir: 42)
  EDIT: Diese Regeln gelten nicht, wenn man die Schulkonsole verwendet. Wenn man allerdings mit Bordmitteln (windowsclient/linuxclient) das Passwort ändern versucht, schlagen die Regeln zu!
Ich habe festgestellt, dass das pam-modul pam_pwquality in der Datei /etc/pam.d/common-password auch noch seinen Senf/seine Regeln dazugibt, wenn man die Bordmittel von Linux verwendet. Das nervt, aber auskommentieren konnte ich die pam_ Zeile auch nicht, daher habe ich wenigstens /etc/security/pwquality.conf so geändert, dass es unterhalb der REgeln von sophomorix liegt:
```
   difok = 0
   minlen = 7
   ucredit = -1
   lcredit = -1
   dictcheck = 0
   usercheck = 0
   enforcing = 0
```
Zwar mosert das pam dennoch, wenn ich „Muster!“ als PW versuche, aber pam lässt mich weitermachen.
```
   Aktuelles Passwort:
   Bitte ein neues Passwort eingeben:
   Unsicheres Passwort: Das Passwort ist nur ein altes Passwort wiederverwendet
   Bitte das neue Passwort erneut eingeben:
```
Wenn man mal sein PW geändert hat, dann hilft nur noch die Server-Konsole als admin sophomorix-passwd -u kuechel --pass "Muster!" --hide --nofirstpassupdate. Falsch: Wie oben geschrieben funktioniert das Passwortändern mit der Schulkonsole mehrfach hintereinander.
Seltsame Geschichte: Wenn ich per Schulkonsole oder per sophomorix-passwd das Passwort zurückgesetzt habe, dann kann ich mich mit dem zurückgesetzten Passwort einloggen, aber muss auf dem Client als altes Passwort (bei „passwd“, nicht in der Schulkonsole) das alte Passwort vor der Zurücksetzung eingeben. Ich vermute das ist ein Caching des sssd auf dem Client, sollte man aber irgendwie wissen, wenn es schief geht.

7. Selbst wenn man mit sophomorix oder der Schulkonsole sein Passwort neu gesetzt bekommen hat, kann man für mind. 1 Tag sein Passwort nicht mehr setzen, Minimum password age (days): 1 steht im Samba irrelevant, oben bereits behandelt.
8. Können die Fehlermeldungen des Samba/AD übersetzt werden? Das ist ja unabhängig von der Windows/Linuxfrage. Ich sammle mal hier die Antworten, die ich bisher vom Server bekam:

Änderung des Passworts fehlgeschlagen. Server-Meldung: Password too short, password must be at least 7 characters long.
Änderung des Passworts fehlgeschlagen. Server-Meldung: Password does not meet complexity requirements
Änderung des Passworts fehlgeschlagen. Server-Meldung: Password is already in password history. New password must not match any of your 24 previous passwords.
Änderung des Passworts fehlgeschlagen. Server-Meldung: Old password not accepted.
Änderung des Passworts fehlgeschlagen. Server-Meldung: Password change rejected, password changes may not be permitted on this account, or the minimum password age may not have elapsed.

So, und jetzt meine 2 cent:

ich finde minimum password age eine blöde idee. Kann man das auf 0 setzen?
können wir uns im Linuxclient einigen, den pwquality-check abzuschalten, irgendwie?
kann man cacheing im sssd im Linuxclient verhindern? Oder sollten wir uns einigen, auch Schüler lieber in der Schulkonsole das PW ändern zu lassen?

Das sind alles irgendwie showstopper, wenn ich mit Schülern üben will, ihr PW zu ändern. Es reicht ja schon, wenn 5 ihr PW ein zweites Mal ändern wollen - das geht dann nicht. Evtl. wg. Caching effekten und dann erst recht nicht, weil Samba erst morgen wieder will. Das ist doch bullshit.

VG, Tobias