Hallo, heute wurde ich gefragt (von einem Haufen Win2k-Admins), ob es möglich wäre, dass ein neu angelegter Benutzer unter Linux beim ersten Login sein Passwort ändern muss bzw. setzen kann. Genauer: Es wird per passwd kein Passwort vergeben, der Benutzer erstellt es erst. Weiß da jemand eine Antwort? Danke Wolfgang E.
Hi Wolfgang! you wrote: WEi> Hallo, WEi> heute wurde ich gefragt (von einem Haufen Win2k-Admins), ob es möglich WEi> wäre, dass ein neu angelegter Benutzer unter Linux beim ersten Login WEi> sein Passwort ändern muss bzw. setzen kann. Genauer: Es wird per passwd WEi> kein Passwort vergeben, der Benutzer erstellt es erst. WEi> Weiß da jemand eine Antwort? WEi> Danke Wolfgang E. Sicher nicht die einfachste Möglichkeit, aber vielleicht ein Denkanstoß: - Beim Anlegen eines Benutzers ein standard Passwort vergeben z.B. "1234" - Dann in dessen .bashrc (die ja bei jedem login ausgeführt wird) das kommando "passwd" am Ende hinzufügen. - Wenn sich der Benutzer dann einlogged wird er sofort aufgefordert sein Passwort zu ändern - Dann muss man nur noch dafür sorgen, dass das "passwd" Kommando in der .bashrc nur genau einmal ausgeführt wird. Also z.B. einfach die letzte Zeiel der .bashrc wieder wegnehmen per Skript oder so etwas in der Richtung. (Mmhhh gefällt mir selber nicht sehr gut diese Lösung. Aber ist und bleibt das beste was mir einfallen würde :-( Viele Grüße Robert /°°°°°°°°°°°°°°°°°°°°°°°°°°°°°\ http://www.doogie.de 0179-6722635 <*> ICQ: 7753573 \............................./
Wolfgang Erlenkötter (info) wrote:
Am Fre, 2003-04-04 um 16.00 schrieb Peter Wiersig:
man 5 shadow
Ich steh' da auf einer Leitung, was genau meinst du?
Mit "man" liest du Manual-Pages. 5 ist die Sektion, in der Dateiformate dokumentiert sind und shadow ist das Passwort-Speicherverfahren fuer Shell-Passworte. tippst du "man 5 shadow" in eine Shell ein, erscheint folgendes: "SHADOW(5) SHADOW(5) NAME shadow - encrypted password file DESCRIPTION shadow contains the encrypted password information for user's accounts and optional the password aging information. Included is (...) Days after which password must be changed (...) " Ich denke, man bekommt es damit hin. Peter
Am Fre, 2003-04-04 um 16.32 schrieb Peter Wiersig:
Mit "man" liest du Manual-Pages. 5 ist die Sektion, in der Dateiformate dokumentiert sind und shadow ist das Passwort-Speicherverfahren fuer Shell-Passworte.
tippst du "man 5 shadow" in eine Shell ein, erscheint folgendes: "SHADOW(5) SHADOW(5) NAME shadow - encrypted password file
DESCRIPTION shadow contains the encrypted password information for user's accounts and optional the password aging information. Included is
(...)
Days after which password must be changed
(...) "
Ich denke, man bekommt es damit hin.
Gut, danke. Aber ich weiß nicht. Bedeutet der Eintrag nicht, dass der Benutzer, wenn ich jetzt z.B. 1 (für einen Tag) eintrage, ständig das Passwort ändern muss? Wolfgang E.
Wolfgang Erlenkötter (info) wrote:
Bedeutet der Eintrag nicht, dass der Benutzer, wenn ich jetzt z.B. 1 (für einen Tag) eintrage, ständig das Passwort ändern muss?
Ja, das wuerde der Eintrag "1 Tag" heissen. Du kannst als Admin aber ja auch einen sinnvollen Zeitraum eingeben. Dann setzt du das Datum der letzten Aenderung auf einen Wert in der Vergangenheit und dann sollte der Benutzer beim naechsten Login aufgefordert werden, sein Passwort neu zu vergeben. Ich setze die Passwoerter fuer neue Benutzer mit eben diesen persoenlich und brauchte mich deshalb nie darum kuemmern, wie man das automatisieren kann. Leerpasswoerter oder Standardpasswoerter halte ich fuer einen grossen Fehler. Ich hab mich auch noch nie um 1000+ Benutzer kuemmern muessen. Es koennte auch noch sein, das man diese Geschichte mit einem PAM-Modul erledigen kann - dort habe ich noch viel weniger reingeschaut. Peter
Am Fre, 2003-04-04 um 16.55 schrieb Wolfgang Erlenkötter (info):
Gut, danke. Aber ich weiß nicht. Bedeutet der Eintrag nicht, dass der Benutzer, wenn ich jetzt z.B. 1 (für einen Tag) eintrage, ständig das Passwort ändern muss?
man chage - change user password expiry information -M, --maxdays maxdays With this option the maximum number of days during which a password is valid is changed. When maxdays plus lastday is less than the current day, the user will be required to change his password before being able to use the account. Lastday ist ein ablsoutes Datum seit 1.1.1970, maxdays ein relatives Datum. English kannst Du? Ciao Achim -- achim mueller, anne-frank-str. 25, D-48431 rheine +49 (0)5971 83767, +49 (0)163 8458340 ------------------------------------------------- pgp/gnupg key: 1024D/5DF3A722 (wwwkeys.de.pgp.net)
Hallo, Am Fre, 2003-04-04 um 17.22 schrieb Achim Mueller:
Am Fre, 2003-04-04 um 16.55 schrieb Wolfgang Erlenkötter (info):
Gut, danke. Aber ich weiß nicht. Bedeutet der Eintrag nicht, dass der Benutzer, wenn ich jetzt z.B. 1 (für einen Tag) eintrage, ständig das Passwort ändern muss?
man chage - change user password expiry information
-M, --maxdays maxdays With this option the maximum number of days during which a password is valid is changed. When maxdays plus lastday is less than the current day, the user will be required to change his password before being able to use the account.
Lastday ist ein ablsoutes Datum seit 1.1.1970, maxdays ein relatives Datum.
English kannst Du?
ja, jetzt hab ich es. Beispiel: Der Benutzer soll alle 30 Tage sein PW ändern. Dann setze ich das letze Änderungsdatum einfach 29 Tage in die Vergangenheit. Der Benutzer hat dann noch 1 Tag übrig um zum ersten Mal sein PW zu ändern. Danach muss er es alle 30 Tage ändern. Oder? Prima. Danke für die Hilfe! Wolfgang
On Fri, Apr 04, Wolfgang Erlenkötter (info) wrote:
Hallo,
Am Fre, 2003-04-04 um 17.22 schrieb Achim Mueller:
Am Fre, 2003-04-04 um 16.55 schrieb Wolfgang Erlenkötter (info):
Gut, danke. Aber ich weiß nicht. Bedeutet der Eintrag nicht, dass der Benutzer, wenn ich jetzt z.B. 1 (für einen Tag) eintrage, ständig das Passwort ändern muss?
man chage - change user password expiry information
-M, --maxdays maxdays With this option the maximum number of days during which a password is valid is changed. When maxdays plus lastday is less than the current day, the user will be required to change his password before being able to use the account.
Lastday ist ein ablsoutes Datum seit 1.1.1970, maxdays ein relatives Datum.
English kannst Du?
ja, jetzt hab ich es. Beispiel: Der Benutzer soll alle 30 Tage sein PW ändern. Dann setze ich das letze Änderungsdatum einfach 29 Tage in die Vergangenheit. Der Benutzer hat dann noch 1 Tag übrig um zum ersten Mal sein PW zu ändern. Danach muss er es alle 30 Tage ändern. Oder? Prima.
Ja, aber viel zu kompliziert für den ersten Login. "passwd -e <account>" Aus der manual page der 8.2 (geht aber auch mit älteren Versionen) für passwd: -e The user will be forced to change the password at next login. -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Deutschherrnstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B
On Fri, Apr 04, 2003 at 04:26:18PM +0200, Wolfgang Erlenkötter (info) wrote:
Hallo,
Am Fre, 2003-04-04 um 16.00 schrieb Peter Wiersig:
man 5 shadow
Ich steh' da auf einer Leitung, was genau meinst du? (Ich häng an die Mail einfach mal -v)
man shadow geht auch ...
Gruß Wolfgang
-- Mit freundlichen Gruessen / Kind regards Dominik Bay http://www.v6web.de http://www.etherkiller.de http://moon.hipjoint.de/tcpa-palladium-faq-de.html Say NO to DRM, DMCA, TCPA and Palladium! Bei Unix laufen die Server, bei NT die Admins ... Windows ist Viagra für den PC - er steht immer!
Dominik Bay wrote:
Am Fre, 2003-04-04 um 16.00 schrieb Peter Wiersig:
man 5 shadow
man shadow geht auch ...
Nicht wirklich, wenn man die Programmierer-Manpages mit installiert. In Sektion 3 werden dann die Zugriffsbefehle auf die shadow-Datenbank erklaert. Es kann also bei dir ohne die Sektion funktionieren, bei mir klappt das aber nicht. Peter
Wolfgang Erlenkötter (info) wrote:
Hallo,
heute wurde ich gefragt (von einem Haufen Win2k-Admins), ob es möglich wäre, dass ein neu angelegter Benutzer unter Linux beim ersten Login sein Passwort ändern muss bzw. setzen kann. Genauer: Es wird per passwd kein Passwort vergeben, der Benutzer erstellt es erst.
Weiß da jemand eine Antwort?
Hallo Wolfgang, weiss nicht genau, ob das genau Deine Frage beantwortet, es betrifft eher die Kombination Samba <-> Linux. Was ich mache ist folgendes: 1. den Usern ein "unmerkbares" Passwort unter Samba geben (denkbar wäre also bei Dir, den Usern beispielsweise ein bekanntes Standardpasswort 'geheim' zu geben); es gibt noch _kein_ Linux-Passwort. 2. da die User gerne ihre Mail vom Server lesen wollen (pop / imap authentifiziert gegen /etc/shadow) und sich auch ihr Passwort merken können wollen, ändern sie es. Also - keine programmierte Passwortänderung sondern eine motivierte. Auf jeden Fall funktioniert's meistens und diejenigen, die's nicht geändert haben kann ich in der /etc/shadow an dem "!" im Passwort erkennen. Viele Grüsse joachim
participants (7)
-
Achim Mueller -
Dominik Bay -
Joachim Kieferle -
Peter Wiersig -
Robert Rackl -
Thorsten Kukuk -
Wolfgang Erlenkötter (info)