18.2 Verwalten von Passwortrichtlinien

Eine Passwortrichtlinie ist eine Sammlung von vom Administrator festgelegten Regeln, die die Kriterien für das Erstellen und Ersetzen von Endbenutzerpasswörtern festlegen. NMAS ermöglicht das Erzwingen von Passwortrichtlinien, die Sie Benutzern in eDirectory zuweisen. Passwortrichtlinien können auch Selbstbedienungsfunktionen für vergessene Passwörter enthalten, die dazu beitragen, die Anzahl der Helpdeskanrufe für vergessene Passwörter zu reduzieren. Eine weitere Selbstbedienungsfunktion steht zum Zurücksetzen von Passwörtern zur Verfügung. Sie bietet dem Benutzer die Möglichkeit, sein Passwort zu ändern, und zeigt die vom Administrator in der Passwortrichtlinie festgelegten Regeln an. Die Benutzer greifen über die Identity Manager-Benutzeranwendung oder über Identity Console auf diese Funktionen zu.

Mit dem Passwortrichtlinienmodul können Sie die folgenden Aufgaben ausführen:

18.2.1 Passwortrichtlinien mit Standardeinstellungen erstellen

Führen Sie zum Erstellen einer neuen Passwortrichtlinie die folgenden Schritte aus:

  1. Klicken Sie auf der Identity Console-Landeseite auf die Optionen Authentifizierungsverwaltung > Passwortrichtlinien.

  2. Klicken Sie auf das Symbol , um eine neue Passwortrichtlinie zu erstellen.

  3. Geben Sie im nächsten Bildschirm den Namen, den Kontext, die Beschreibung und eine Passwortänderungsmeldung an.

  4. Wenn Sie eine Passwortrichtlinie mit den Standardeinstellungen erstellen möchten, aktivieren Sie das Kontrollkästchen Neue Passwortrichtlinie basierend auf den Standardeinstellungen erstellen und klicken Sie auf Weiter, um die Seite Zusammenfassung anzuzeigen.

  5. Überprüfen Sie die Details auf der Seite Zusammenfassung und klicken Sie auf Erstellen.

  6. Eine Meldung bestätigt die erfolgreiche Erstellung der Passwortrichtlinie.

Abbildung 18-9 Passwortrichtlinien mit Standardeinstellungen erstellen

18.2.2 Passwortrichtlinien mit benutzerdefinierten Einstellungen erstellen

Führen Sie die folgenden Schritte aus, um eine Passwortrichtlinie mit benutzerdefinierten Einstellungen zu erstellen:

  1. Klicken Sie auf der Identity Console-Landeseite auf die Optionen Authentifizierungsverwaltung > Passwortrichtlinien.

  2. Klicken Sie auf das Symbol , um eine neue Passwortrichtlinie zu erstellen.

  3. Geben Sie im nächsten Bildschirm den Namen, den Kontext, die Beschreibung und eine Passwortänderungsmeldung an.

  4. Wenn Sie eine Passwortrichtlinie mit den benutzerdefinierten Einstellungen erstellen möchten, klicken Sie auf Weiter.

  5. Führen Sie auf der Seite Konfiguration die folgenden Aktionen aus:

    1. Universelles Passwort aktivieren: Die Aktivierung des universellen Passworts für eine Richtlinie ermöglicht Ihnen, Optionen der Funktion "Passwortrichtlinien" zu verwenden. Das universelle Passwort für eine Richtlinie kann jedoch erst aktiviert werden, wenn die Voraussetzungen für universelle Passwörter in der Umgebung erfüllt sind.

    2. Regeln für erweitertes Passwort aktivieren: Mit dieser Option werden die Passwortregeln aktiviert, die sich unter Erweiterte Passwortregeln befinden. Diese Regeln helfen Ihnen, Ihre Umgebung zu schützen, indem sie Ihnen die Kontrolle über Kriterien wie die Lebensdauer oder den Inhalt der Passwörter gibt. Sie können beispielsweise festlegen, welche Art von Kombination aus Buchstaben, Zahlen, Groß- oder Kleinbuchstaben und Sonderzeichen das Passwort enthalten muss. Passwörter, die Ihrer Meinung nach nicht sicher sind (beispielsweise der Firmenname), können ausgeschlossen werden.

    3. Passwortsynchronisierung: Mit diesen Optionen wird die Synchronisierung des universellen Passworts in eDirectory mit anderen Arten von Identitätsdepot-Passwörtern definiert. Die Passwortsynchronisierung enthält die folgenden Optionen:

      1. NDS-Passwort beim Festlegen des Passworts entfernen: Bei aktivierter Option wird das NDS-Passwort deaktiviert, wenn das universelle Passwort eingerichtet wird. Die Benutzer können keine älteren Methoden oder Dienstprogramme verwenden, die sich direkt mit dem NDS-Passwort anmelden, statt mit NMAS zu kommunizieren. Wenn diese Option aktiviert ist, wird die nächste Option NDS-Passwort beim Festlegen des Passworts synchronisieren standardmäßig deaktiviert.

      2. NDS-Passwort beim Festlegen des Passworts synchronisieren: Wenn diese Option aktiviert ist, wird bei der Einrichtung des universellen Passworts in Anwendungen wie Identity Console auch das NDS-Passwort geändert.

      3. Einfaches Passwort beim Festlegen des Passworts synchronisieren: Diese Option ermöglicht die Kompatibilität mit NetIQ und Clients von Drittanbietern, die einfache Passwörter und Benutzerbereitstellung verwenden.

      4. Verteilungspasswort beim Festlegen des Passworts synchronisieren: Mit dieser Option wird festgelegt, ob die Metaverzeichnis-Engine das universelle Passwort eines Benutzers in eDirectory abrufen oder festlegen kann.

    4. Abruf des universellen Passworts: Folgende Optionen stehen zur Auswahl:

      1. Abrufen des Passworts durch Benutzer zulassen: Lässt das Abrufen des Passworts durch den Benutzeragenten zu. Mit dieser Option wird festgelegt, ob die Selbstbedienungsfunktion "Vergessenes Passwort" ein Passwort im Namen des Benutzers abrufen kann, sodass das Passwort per Email an den Benutzer gesendet werden kann. Bei deaktivierter Option ist die entsprechende Funktion auf der Registerkarte "Passwort vergessen" in der Passwortrichtlinie abgeblendet.

      2. Abrufen von Passwörtern durch Administrator zulassen: Aktivieren Sie diese Option, wenn Sie von einem Service benötigt wird. In Identity Manager ist es nicht erforderlich, dass Kennwörter von Administratoren abgerufen werden. Für bestimmte Services von Drittanbietern kann diese Option jedoch hilfreich sein.

      3. Zulassen, dass folgende Personen Passwörter abrufen: Wählen Sie den entsprechenden Benutzer aus, der das Passwort abrufen können soll, indem Sie auf das Symbol klicken.

    5. Authentifizierung:

      1. Überprüfen, ob vorhandene Passwörter die Passwortrichtlinie erfüllen (Überprüfung erfolgt bei der Anmeldung): Diese Option ist hilfreich, wenn Sie eine neue Passwortrichtlinie verteilen oder die erweiterten Passwortregeln für eine vorhandene Richtlinie ändern und sicherstellen möchten, dass die vorhandenen Passwörter den neuen bzw. geänderten Regeln entsprechen.

        Wenn Sie diese Option auswählen, werden die vorhandenen Passwörter von Benutzern bei der Anmeldung überprüft, um sicherzustellen, dass sie mit den erweiterten Passwortregeln in der neuen oder geänderten Passwortrichtlinie übereinstimmen. Ist ein vorhandenes Passwort nicht kompatibel, muss der Benutzer das Passwort ändern.

        Wenn Sie fertig sind, klicken Sie auf Weiter.

  6. Erweiterte Passwortregeln helfen Ihnen, Ihre Umgebung zu schützen, indem sie Ihnen die Kontrolle über Kriterien wie die Lebensdauer des Passworts, die erforderliche Passwortänderungsfrequenz oder die Art der enthaltenen Zeichen gibt.

    Sonderzeichen sind Zeichen, die keine Zahlen (0-9) oder Buchstaben sind.

    Auf der Seite „Erweiterte Passwortregeln“ können Sie die folgenden Aktionen ausführen:

    1. Sie können mit der Microsoft-Komplexitätsrichtlinie (vor Microsoft Windows Server 2008), der Microsoft Server 2008-Kennwortrichtlinie oder der Novell-Syntax Passwortsyntaxeinstellungen verwalten.

    2. Geben Sie im Assistenten die erforderlichen Optionen für „Passwort ändern“, „Gültigkeitsdauer des Passworts“, „Passwortlänge und -zusammensetzung“ und „Passwortausschlüsse“ an und klicken Sie auf Weiter.

  7. Durch Aktivieren der Selbstbedienungsfunktion Passwort vergessen für Benutzer, die ihr Passwort vergessen haben, können Sie Helpdesk-Kosten reduzieren. Diese Selbstbedienungsfunktionen stehen Benutzern über das Identity Console-Portal zur Verfügung. Auf der Seite „Passwort vergessen“ können Sie die folgenden Aktionen ausführen:

    HINWEIS:Wenn Sie „Passwort vergessen“ aktivieren, müssen Sie außerdem festlegen, ob ein Sicherheitsabfragensatz erforderlich ist, um den Benutzer bei der Anmeldung zu unterstützen.

    1. Herausforderungssätze: Wenn Sie Sicherheitsabfragensätze verwenden, können die Benutzer die Selbstbedienungsfunktion „Passwort vergessen“ erst verwenden, nachdem sie die Sicherheitsfragen beantwortet haben. Um sicherzustellen, dass die Benutzer zur Eingabe dieser Informationen über das Identity Console-Portal aufgefordert werden, aktivieren Sie die Option Sicherheitsabfragensatz erfordern.

    2. Aktion: Die verfügbaren Optionen auf dieser Registerkarte umfassen das Zurücksetzen des Passworts mithilfe von Sicherheitsabfragesätzen und eines universellen Passworts, das Senden des aktuellen Passworts oder des Passworthinweises per Email und das Anzeigen des Passworthinweises.

    3. Authentifizieren: Aktivieren Sie das Kontrollkästchen Benutzer bei der Authentifizierung zwingen, Sicherheitsfragen und/oder Hinweise zu konfigurieren, um sicherzustellen, dass die Benutzer aufgefordert werden, Sicherheitsabfragensätze oder einen Passworthinweis anzugeben.

      Wenn Sie fertig sind, klicken Sie auf Weiter.

  8. Eine Richtlinie wird erst dann wirksam, wenn sie mindestens einem Objekt zugewiesen wird. Es empfiehlt sich, Richtlinien auf einer möglichst hohen Ebene im Baum zuzuweisen, um die Administration zu vereinfachen. Eine Passwortrichtlinie kann den folgenden Objekten zugewiesen werden:

    1. Objekt „Login Policy“: Es wird empfohlen, eine Standardpasswortrichtlinie für alle Benutzer im Baum zu erstellen und dem Anmelderichtlinienobjekt zuzuweisen, das sich im Sicherheitscontainer befindet.

    2. Container, der Partitionsstamm ist: Wenn Sie einem Container eine Richtlinie zuweisen, der als Stamm einer Partition fungiert, wird die Richtlinienzuweisung an alle Benutzer in dieser Partition vererbt, einschließlich der Benutzer in den Untercontainern.

    3. Container, der nicht als Partitionsstamm fungiert: Wenn Sie einem Container, der nicht als Stamm einer Partition fungiert, eine Richtlinie zuweisen, wird die Richtlinienzuweisung nur an die Benutzer vererbt, die sich in diesem Container befinden. Die Richtlinie wird nicht an Benutzer vererbt, die sich in Untercontainern befinden.

      Soll die Richtlinie für alle Benutzer unterhalb eines nicht als Partitionsstamm fungierenden Containers gelten, muss die Richtlinie jedem Untercontainer einzeln zugewiesen werden.

    4. Benutzer: Eine Richtlinie kann einem oder mehreren Benutzern zugewiesen werden.

      Um eine Richtlinie zuzuweisen, klicken Sie auf das Symbol . Wählen Sie dann durch Durchsuchen das entsprechende Objekt aus, um eine Passwortrichtlinie zuzuweisen.

      Falls Sie eine Richtlinienverknüpfung entfernen möchten, wählen Sie die Richtlinie aus der Liste aus und klicken Sie auf das Symbol .

  9. Überprüfen Sie die Details auf der Seite Zusammenfassung und klicken Sie auf Erstellen.

  10. Eine Meldung bestätigt die erfolgreiche Erstellung der Passwortrichtlinie.

Abbildung 18-10 Passwortrichtlinien mit benutzerdefinierten Einstellungen erstellen

18.2.3 Passwortrichtlinien ändern

Führen Sie die folgenden Schritte aus, um eine vorhandene Passwortrichtlinie zu ändern:

  1. Klicken Sie auf der Identity Console-Landeseite auf die Optionen Authentifizierungsverwaltung > Passwortrichtlinien.

  2. Wählen Sie die geeignete Passwortrichtlinie aus der Liste aus und klicken Sie auf das Symbol .

  3. Nehmen Sie die erforderlichen Änderungen auf der Seite Passwortrichtlinie ändern vor und klicken Sie auf Speichern.

Abbildung 18-11 Passwortrichtlinien ändern

18.2.4 Passwortrichtlinien löschen

Führen Sie die folgenden Schritte aus, um Passwortrichtlinien zu löschen:

  1. Klicken Sie auf der Identity Console-Landeseite auf die Optionen Authentifizierungsverwaltung > Passwortrichtlinien.

  2. Wählen Sie die geeigneten Passwortrichtlinien aus der Liste aus und klicken Sie auf das Symbol .

  3. Klicken Sie im daraufhin angezeigten Warnbildschirm auf OK.

  4. Eine Meldung bestätigt das Löschen der Passwortrichtlinien.

Abbildung 18-12 Löschen einer Passwortrichtlinie