Die Passwörter der lokalen Kennungen haben folgende Attribute:
Gültigkeitsdauer, Warnzeit, Mindestzeit, Inaktivzeit:
Während der Gültigkeitsdauer, die ab dem letzten Setzen des Passworts gilt, ist die Anmeldung unbeschränkt möglich.
Während der Mindestzeit kann ein Nicht-Administrator das eigene Passwort nicht verändern.
Während der Warnzeit wird eine Warnung ausgegeben, dass das Passwort bald ausläuft. Die Anmeldung ist aber ohne Einschränkungen möglich.
Während der Inaktivzeit ist das Passwort zwar abgelaufen, eine Anmeldung ist aber trotzdem möglich. Direkt bei der Anmeldung wird eine Passwortänderung verlangt.
Nach Ablauf der Inaktivzeit ist die Kennung gesperrt. Sie kann von einer (anderen) Administrator- bzw. Security-Administrator-Kennung aus oder notfalls durch den Service wieder geöffnet werden.
Der Wert -1 bei der Inaktivzeit führt dazu, dass die Inaktivzeit nicht abläuft.
Der Wert 99999 für die Gültigkeitsdauer bedeutet in der Praxis, dass Sie das Passwort nicht ändern müssen.
Die folgende Grafik zeigt, wie sich diese Zeiten zueinander verhalten.
Auf der Basis der Einstellungen für die Systemhärtung werden Kundenkennungen mit folgenden Default-Werten für die Passwortverwaltung angelegt:
Gültigkeitsdauer des Passworts: 60 Tage
- Mindestzeit bis zur nächsten Änderung des Passworts: 7 Tage
Für eine Administratorkennung ist die Mindestzeit irrelevant und wird immer als 0 angezeigt. Warnzeit vor Ablauf des Passworts: 7 Tage
Inaktivzeit nach Ablauf des Passworts: 7 Tage
Jeder Administrator und Security-Administrator kann jederzeit einzelne Einstellungen der Passwortverwaltung einer Kennung ändern.
Andere Benutzer können nur das Passwort der eigenen Kennung ändern. Dies ist aber nur möglich, wenn die Mindestzeit verstrichen ist.
Bei der Anmeldung an der Web-Oberfläche ergeben sich bezüglich des Passwortzustands und der Passwortverwaltung je nach Rolle die folgenden Situationen:
Wenn sich die aktuelle Kennung in der Warnzeit befindet, wird dies in der Kopfzeile des Hauptfensters durch ein Warn-Icon angezeigt:
Zusätzlich zeigt ein Tooltipp dem Anwender, nach wie vielen Tagen sein Passwort abläuft.
Wenn sich eine Kennung in der Inaktivzeit befindet, ist eine Anmeldung zwar noch möglich, im Anmeldefenster wird aber eine sofortige Passwortänderung erzwungen.
- Wenn die Inaktivzeit verstrichen ist, ist die Kennung gesperrt und es ist keine Anmeldung mehr möglich. Ein Eingriff seitens eines (anderen) Administrators, Security-Administrators oder des Service ist dann notwendig (siehe „Sicherheitsrelevante Aktionen").
Auf Shell-Ebene gilt beim Anmelden das bekannte Verhalten in Linux-Systemen:
Während der Warnzeit wird bei der Anmeldung eine Warnung ausgegeben, z.B.
Your password will expire in 2 days.Achtung!
Das Kommando passwd darf auf Shell-Ebene nicht verwendet werden!In dieser Situation sollte sich der Anwender noch vor Ablauf der Warnzeit am SE Manager anmelden und das Passwort ändern.
Während der Inaktivzeit wird bei der Anmeldung die Passwortänderung erzwungen. In dieser Situation muss der Anwender wie folgt vorgehen:
Die Anmeldung an der Shell abbrechen.
Am SE Manager anmelden und im Anmeldefenster das Passwort ändern.
Die Anmeldung an der Shell wiederholen.
Wenn die Inaktivzeit verstrichen ist, ist die Kennung gesperrt und es ist keine Anmeldung mehr möglich. Die Anmeldung scheitert ohne Angabe eines Grunds.
Sicherheitsrelevante Aktionen
Ein Administrator oder Security-Administrator kann die Einstellungen für die Passwortverwaltung den jeweiligen Sicherheitsrichtlinien im Data Center anpassen.
Die Einstellungen können nur für einzelne Kennungen und nicht pauschal für alle Kennungen des Systems geändert werden.Jeder Anwender ist aufgefordert, sein Passwort so zu pflegen, wie es die Sicherheitsrichtlinien in seinem Data Center vorsehen.
Es kann vorkommen, dass eine Kennung wegen Überschreitung der Inaktivzeit gesperrt ist. In diesem Fall kann ein (anderer) Administrator bzw. Security-Administrator für diese Kennung die Sperre für genau eine Anmeldung aufheben. Dazu dient die Funktion Passwortänderung erzwingen (siehe die Online-Hilfe).
Der Service ist immer in der Lage, die Sperre für eine Kennung aufzuheben.
Im SE Manager erfolgt die Eingabe eines Passworts in der Regel aus Sicherheitsgründen verdeckt.
Während der Eingabe wird vor dem Eingabefeld ein Auge-Icon (
) angezeigt, mit dem das Passwort sichtbar gemacht und durch nochmaliges Klicken auf das Icon wieder verborgen werden kann:
Service-Kennung service
Die Service-Kennung service wird bei der Installation mit einem Passwort mit der Gültigkeit von 30 Tagen initialisiert.
Anschließend verwaltet der Service das Passwort der Kennung service bezüglich Gültigkeit und Warnzeit in Absprache mit dem Kunden und gemäß den von diesem vorgegebenen Sicherheitsrichtlinien.
Mindestzeit und Inaktivzeit sind für die Kennung service grundsätzlich deaktiviert und können nicht geändert werden.
Es ist sichergestellt, dass die Kennung service nie gesperrt wird, dass also der Service nie vom SE Server ausgesperrt wird.