Die Passwörter der lokalen Kennungen haben folgende Attribute:
Gültigkeitsdauer, Warnzeit, Mindestzeit, Inaktivzeit:
Während der Gültigkeitsdauer, die ab dem letzten Setzen des Passworts gilt, ist die Anmeldung unbeschränkt möglich.
Während der Mindestzeit kann ein Nicht-Administrator das eigene Passwort nicht verändern.
Während der Warnzeit wird eine Warnung ausgegeben, dass das Passwort bald ausläuft. Die Anmeldung ist aber ohne Einschränkungen möglich.
Während der Inaktivzeit ist das Passwort zwar abgelaufen, eine Anmeldung ist aber trotzdem möglich. Direkt bei der Anmeldung wird eine Passwortänderung verlangt.
Nach Ablauf der Inaktivzeit ist die Kennung gesperrt. Sie kann von einer (anderen) Administratorkennung aus oder notfalls durch den Service wieder geöffnet werden.
Der Wert -1 bei der Inaktivzeit führt dazu, dass die Inaktivzeit nicht abläuft.
Der Wert 99999 für die Gültigkeitsdauer bedeutet in der Praxis, dass Sie das Passwort nicht ändern müssen.
Die folgende Grafik zeigt, wie sich diese Zeiten zueinander verhalten.
Auf der Basis der Einstellungen für die Systemhärtung werden Kundenkennungen mit folgenden Default-Werten für die Passwortverwaltung angelegt:
Gültigkeitsdauer des Passworts: 60 Tage
- Mindestzeit bis zur nächsten Änderung des Passworts: 7 Tage
Für eine Administratorkennung ist die Mindestzeit irrelevant und wird auch nicht angezeigt. Warnzeit vor Ablauf des Passworts: 7 Tage
Inaktivzeit nach Ablauf des Passworts: 7 Tage
Jeder Administrator kann jederzeit einzelne Einstellungen der Passwortverwaltung einer Kennung ändern.
Ein Nicht-Administrator kann nur das Passwort der eigenen Kennung ändern. Dies ist aber nur möglich, wenn die Mindestzeit verstrichen ist.
Bei der Anmeldung an der Web-Oberfläche ergeben sich bezüglich des Passwortzustands und der Passwortverwaltung je nach Rolle die folgenden Situationen:
Wenn sich die aktuelle Kennung in der Warnzeit befindet, wird dies in der Kopfzeile des Hauptfensters durch ein Warn-Icon angezeigt:
Zusätzlich zeigt ein Tooltipp dem Anwender, nach wievielen Tagen sein Passwort abläuft.
Wenn sich eine Kennung in der Inaktivzeit befindet, ist eine Anmeldung zwar noch möglich, im Anmeldefenster wird aber eine sofortige Passwortänderung erzwungen.
- Wenn die Inaktivzeit verstrichen ist, ist die Kennung gesperrt und es ist keine Anmeldung mehr möglich. Ein Eingriff seitens eines (anderen) Administrators oder des Service ist dann notwendig (siehe „Sicherheitsrelevante Aktionen").
Auf Shell-Ebene gilt beim Anmelden das bekannte Verhalten in Linux-Systemen:
Während der Warnzeit wird bei der Anmeldung eine Warnung ausgegeben, z.B.
Your password will expire in 2 days.Achtung!
Das Kommando passwd darf auf Shell-Ebene nicht verwendet werden!In dieser Situation sollte sich der Anwender noch vor Ablauf der Warnzeit am SE Manager anmelden und das Passwort ändern.
Während der Inaktivzeit wird bei der Anmeldung die Passwortänderung erzwungen. In dieser Situation muss der Anwender wie folgt vorgehen:
Die Anmeldung an der Shell abbrechen.
Am SE Manager anmelden und im Anmeldefenster das Passwort ändern.
Die Anmeldung an der Shell wiederholen.
Wenn die Inaktivzeit verstrichen ist, ist die Kennung gesperrt und es ist keine Anmeldung mehr möglich. Die Anmeldung scheitert ohne Angabe eines Grunds.
Sicherheitsrelevante Aktionen
Der Administrator kann die Einstellungen für die Passwortverwaltung den jeweiligen Sicherheitsrichtlinien im Data Center anpassen.
Die Einstellungen können nur für einzelne Kennungen und nicht pauschal für alle Kennungen des Systems geändert werden.Jeder Anwender ist aufgefordert, sein Passwort so zu pflegen, wie es die Sicherheitsrichtlinien in seinem Data Center vorsehen.
Es kann vorkommen, dass eine Kennung wegen Überschreitung der Inaktivzeit gesperrt ist. In diesem Fall kann ein (anderer) Administrator für diese Kennung die Sperre für genau eine Anmeldung aufheben. Dazu dient die Funktion Passwortänderung erzwingen (siehe die Online-Hilfe).
Der Service ist immer in der Lage, die Sperre für eine Kennung aufzuheben.