Damit meine Kollegen ihre Passwörter auf dem schulischen Mailserver selbst ändern können will ich diesen keine Möglichkeit direkt über Horde5 zur Verfügung stellen. Im Kontext von Heartbleed wurde mir klar, dass Aufrufe zur Passwortänderung nämlich von Lehrer/innen schlicht ignoriert werden oder Passwörter gewählt werden, die diesen Namen nicht verdienen.
Ich habe nun vor, die Passwortverwaltung einerseits selbst in der Hand zu halten, so weit es eben geht, und andererseits aber auch nicht zu sehr zu gängeln.
Es wird deswegen die Möglichkeit geben, sich über SSH mit einem Passwort-geschützten Schlüssel am Mailserver anzumelden und dort passwd zu nutzen, das wiederum ein paar Prüfroutinen auf die Eingaben loslässt. Restricted Shell sollte genug Sicherheit bieten. So richtig böse ist keiner und wenn doch, dann ist der Mailserver eben weg.
Will also ein Lehrer sein Passwort selbst verwalten, dann erhält er von mir in einer verschlüsselten Mail einen TrueCrypt Container und das zugehörige Passwort. im Container befinden sich PuTTYPortable.exe, puttygen.exe und seine private Schlüsseldatei im SSH Format. Weiter kommt noch eine Anleitung mit dazu – denn: Die Ersteinrichtung von PuTTY überlasse ich ebenfalls dem Benutzer.
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
Mit puttygen muss man zuerst den SSH Key über /Conversions /Import key importieren und dann den privaten Schlüssel im PPK Format wieder abspeichern. Beim Import fragt puttygen nach dem Passwort für den Schlüssel.
http://portableapps.com/apps/internet/putty_portable
In PuTTYPortable sind dann die folgenden Einstellungen vorzunehmen:
- unter /Session sind der Server und der Port einzustellen
- unter /Connection /Data /Auto-login-username ist der Benutzername einzutragen
- unter /Connection /SSH /Auth wird über den Schalter /Browse die vorher erstellte PPK Datei mit dem privaten Schlüssel ausgewählt
Ist PuTTY erst einmal zufrieden gestellt, dann speichert man die ganze Geschichte unter /Session ab, so dass man sich dieses Gefrickel in Zukunft sparen kann.
Pam_unix prüft bei entsprechender Konfiguration und in Zusammenarbeit mit pam_cracklib einiges ab, was zu simple Einfälle unmöglich macht. Da muss ich aufpassen, dass ich nicht übertreibe.
Da an keiner Stelle im Prozess der Passwortänderung auch nur Sternchen angezeigt werden, sind die Fehlerquellen sicherlich Legion. Dazu kommt, dass ein solches Verfahren die meisten schlicht abschrecken wird. Schwarze Felder mit blinkenden grünem Strichlein sind die wenigsten gewohnt.
Das ist dann eben so. Ein Kollateralschaden.