Univention Bugzilla – Bug 17069
Überprüfen ob die Kerberos cracklib-Prüfung auch im PAM-Stack greift
Last modified: 2013-02-16 10:33:01 CET
Es sollte überprüft werden, ob die an Bug 1430 dokumentierte Cracklib-Erweiterung für kpasswd auch bei Passwortänderungen per PAM greift. Unter UCS 2.3-0 steht z.B. auf einem Mobile Client in /etc/pam.d/common-passwd: password requisite pam_cracklib.so password sufficient pam_unix.so nullok obscure md5 min=4 max=32 use_first_pass password sufficient pam_krb5.so use_first_pass password required pam_ldap.so use_first_pass Es sollte überprüft werden dass die Passwortänderung fehlschlägt, wenn pam_krb5 (bzw. der KDC per check_cracklib.py) ein Passwort als zu schwach ablehnt. Zum Testen sollte ggf. die erste pam_cracklib Zeile auskommentiert werden, damit man nicht daran scheitert. Wenn eine Passwortänderung dann dennoch per pam_ldap akzeptiert wird, sollte überlegt werden, ob es reicht das zu dokumentieren.
Ggf. lässt sich so auch eine gesetzte UDM Passwort Richtlinie (insbesondere History) umgehen.
kpasswd verwendet mittlerweile die Univention Password Change Lib, siehe 50_password_sync.patch