Dass der eigene Vorname, der Name der Katze oder der Geburtstag der Schwiegermutter keine guten Passwörter darstellen, ist klar. Auch password oder 123456 (tatsächlich auf der Liste der am häufigsten gewählten Kennwörter zu finden!) scheiden aus. Als Administrator einer UCS-Domäne können Sie zwar nicht verhindern, dass die Anwender ihre Passwörter notieren oder unter der Tastatur aufbewahren, aber Sie können an anderen Stellschrauben drehen, um das System sicherer zu machen.
Mit Richtlinien (Policies) bestimmen Sie beispielsweise eine Mindestlänge oder legen fest, dass Benutzer die Kennwörter regelmäßig ändern müssen. Darüber hinaus bietet Univention Corporate Server eine Qualitätsprüfung, die das Verwenden einer bestimmten Anzahl von Zahlen, Sonderzeichen, Groß- und Kleinbuchstaben in den Kennwörtern erzwingt. Dieser Artikel stellt einige Tipps und Tricks für das Einrichten einer guten Passwort-Policy in einer UCS-Domäne vor. Wir zeigen außerdem, welche Variablen Sie in der Univention Configuration Registry setzen können, um das Ganze zu optimieren. Kommt in Ihrer Umgebung Samba zum Einsatz, dann erfahren Sie in diesem Artikel ebenfalls, wie Sie die Passwort-Anforderungen für das Samba-Domänenobjekt an die der neuen Richtlinie anpassen.

Eine neue Passwort-Richtlinie hinzufügen

In der Voreinstellung gelten für alle Benutzer der UCS-Domäne Passwörter, die aus mindestens acht Zeichen bestehen und unbegrenzt gültig sind. Unterschreitet ein Benutzer beim Ändern des Kennworts diese Mindestlänge, gibt das System eine entsprechende Warnung aus:

Benachrichtigung Passwort Richtlinie

Um eine neue Passwort-Richtlinie für die Benutzer einzurichten, öffnen Sie die Univention Management Console (UMC) und wechseln in die Kategorie Domäne. Öffnen Sie das Modul Richtlinien und erstellen Sie eine neue Richtlinie per Klick auf Hinzufügen. Aus dem Drop-down-Menü Typ wählen Sie den Eintrag Richtlinie: Passwort und klicken auf Weiter.

Richtlinien 12 Zeichen

UCS-Passwort-Richtlinie konfigurieren

Ins Feld Name tragen Sie eine Beschreibung ein; achten Sie darauf, dass der Name keine Umlaute enthält. Außer Buchstaben und Zahlen sind Leerzeichen sowie einige Sonderzeichen (# ! $ % & | ^ . ~ _ -) erlaubt. Direkt darunter definieren Sie die Passwortlänge, also die Anzahl der Zeichen, die ein Passwort in Ihrer UCS-Domäne mindestens braucht. Wenn Sie hier nichts eintragen, gilt die Mindestlänge von acht Zeichen. Soll keine Prüfung der Kennwortlänge stattfinden, tragen Sie als Wert 0 ein.
Das Passwort-Ablaufintervall zwingt Ihre Benutzer dazu, das Kennwort regelmäßig zu ändern. Tragen Sie hier die Anzahl der Tage ein, nach denen ein Anwender aufgefordert wird, das Kennwort zu ändern; wenn Sie das Feld leer lassen, gibt es kein Ablaufintervall.
Im Feld History-Länge tragen Sie ebenfalls eine Ziffer ein. Sie bestimmt, ab wann ein Benutzer ein altes Passwort erneut verwenden darf. Steht in diesem Feld eine 3, dann muss ein Anwender drei neue Kennwörter setzen, bevor er erneut ein Altes verwenden kann. Soll UCS keine Passwort-History anlegen, tragen Sie eine 0 ein.
Als letzte Option können Sie die Passwort-Qualitätsprüfung aktivieren, die unter anderem testet, ob ein Kennwort in einem Wörterbuch steht. Zusätzliche Checks für die Qualitätsprüfung richten Sie über Variablen in der Univention Configuration Registry ein (siehe nächster Abschnitt).
Abschließend klicken Sie rechts oben auf Richtlinie erstellen. Danach können Sie die neue Passwort-Richtlinie den Benutzerobjekten der Domäne zuweisen. Öffnen Sie dazu die Benutzereinstellungen und wählen Sie in der linken Leiste den Eintrag Richtlinien. Dann klappen Sie in der rechten Hälfte den Eintrag Richtlinie: Passwort aus, wählen im Drop-down-Menü die gerade erstellte Richtlinie aus und klicken oben rechts auf Speichern – fertig.

Benutzer Richtlinie einstellen

Univention Configuration Registry: Variablen zur Passwort-Qualitätsprüfung

Wenn Sie beim Anlegen der neuen Passwort-Richtlinie die Option Passwort-Qualitätsprüfung aktiviert haben, dann können Sie die Feinjustierung über sechs verschiedene UCR-Variablen vornehmen. Das Modul Univention Configuration Registry erreichen Sie über die UMC-Kategorie System. Geben Sie ins Suchfeld password/quality ein, um die einzelnen Prüfungen aufzulisten. Folgende Einstellungen verbergen sich hinter den Einträgen:

  • password/quality/credit/digits: die Mindestanzahl von Zahlen, die ein Passwort enthalten muss
  • password/quality/credit/lower: die Mindestanzahl von Kleinbuchstaben
  • password/quality/credit/other: die Mindestanzahl von Zeichen, die keine Buchstaben oder Ziffern sind
  • password/quality/credit/upper: die Mindestanzahl von Großbuchstaben
  • password/quality/forbidden/chars: schließt bestimmte Zeichen und Zahlen aus
  • password/quality/required/chars: erzwingt bestimmte Zeichen und Ziffern

Sie aktivieren die jeweiligen Prüfungen durch Setzen eines Wertes; den Konfigurationsdialog öffnen Sie, indem Sie den Namen der Variable anklicken. Im Beispiel ist gesetzt, dass jedes Passwort mindestens einen Klein-, einen Großbuchstaben und eine Zahl enthalten muss.

Aktivierung Passwort Prüfungen

Samba-Passwörter für Windows-Clients

Wenn Sie in Ihrer UCS-Domäne Samba einsetzen, dann achten Sie darauf, die Passwort-Anforderungen für das Samba-Domänenobjekt an die der neuen Richtlinie anzugleichen. Andernfalls gelten für die Anmeldung bei UCS und an Windows-Rechnern unterschiedliche Bedingungen. Nachdem Sie eine neue Passwort-Richtlinie konfiguriert haben, öffnen Sie also die Kategorie Domäne und dort das Modul LDAP-Verzeichnis. Klicken Sie in der linken Baumansicht auf samba und wählen Sie dann rechts die gewünschte Samba-Domäne per Klick auf den NetBIOS-Namen aus.

Blättern Sie bis zum Eintrag Passwort. Dort tragen Sie in den Feldern Passwort-Länge und Passwort-History dieselben Werte wie bei der Richtlinie ein. Wenn Sie dort ein Passwort-Ablaufintervall definiert haben, dann geben Sie dieses im Feld Maximales Passwortalter ein; achten Sie darauf, im Drop-down-Menü rechts daneben die Einheit von Sekunden (Voreinstellung) auf Tage zu ändern. Abschließend klicken Sie rechts oben auf Speichern.

Passworteinstellungen

UCS weiter absichern

Sichere Kennwörter sind nur die halbe Miete – zum „Härten“ (engl. „Hardening“) eines Systems gehören einige andere Aspekte dazu, z. B. der Betrieb einer Firewall, das Verwenden nicht-privilegierter Konten, wo es möglich ist, oder entsprechende Zugangskontrollen zu sensiblen Daten. Es ist ebenfalls eine gute Idee, nur Software aus dem Univention App Center zu installieren, die Sie bzw. Ihre Benutzer wirklich benötigen. Unsere Entwickler haben in der Knowledge Base eine Anleitung für UCS-Administratoren veröffentlicht, die zahlreiche Maßnahmen erklärt: Eine Passwort-Richtlinie, wie in diesem Artikel gezeigt, gehört unbedingt dazu.


UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich

Hendrik Peter ist als IT Systems Integrator Apprentice bei Univention tätig

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. Hallo Herr Peter,
    vielen Dank für diesen Artikel. Ein Aspekt kommt mir etwas zu kurz: Sie schreiben „[…]Passwort-Qualitätsprüfung aktivieren, die unter anderem testet, ob ein Kennwort in einem Wörterbuch steht“. Ich wüsste hierzu gerne,
    – welches Wörterbuch gemeint ist,
    – ob dieses Wörterbuch lokal installiert oder im Netz referenziert wird,
    – von wem dieses Wörterbuch gepflegt wird,
    – ob es möglich ist, https://haveibeenpwned.com/ oder vergleichbare Dienste als „Wörterbuch“ zur Prüfung einzubinden.
    Wir nutzen seit diesem Jahr UCS und würden diese Wörterbuchprüfung gerne nach unseren Vorstellungen gestalten. Ich bin gespannt auf Ihre Antwort.

    Beste Grüße

  2. Hallo Herr Weber,

    wir verwenden hier die CrackLib-Library, welche wiederum lokale Wörterbücher nutzt, die aus einfachen Textdateien kompiliert werden. Die Textdateien finden sich unter „/usr/share/dict/“ (bspw. „ngerman“). Ohne es jetzt explizit getestet zu haben sollte es ausreichen hier einfach eigene Dateien zu ergänzen. Ein Cronjob kompiliert dann täglich die Textdateien zu den Wörterbüchern (vgl. „/etc/cron.daily/cracklib-runtime“).
    Eine Einbindung oder Abfrage von Webdiensten ist von Haus aus erstmal nicht vorgesehen.

    Freundliche Grüße,
    Michael Grandjean

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.