Komplexe Passwörter unter Samba

Auf einem Samba-PDC besteht in manchen Unternehmen das Problem der Prüfung der Passwörter auf eine (vorgegebene) Komplexität. Die bereits in der Distribution mitgelieferte crackcheck.c-Beispieldatei liefert eien gute und ausreichende Passwortprüfung. Das Passwort wird hier gegen ein installiertes Wörterbuch geprüft (cracklib). Wenn jedoch im Unternehmen eine Sicherheitsrichtlinien gilt, die die Komplexität der Passwörter in Anlehnung an die 'Passfilt.dll' der Fa. Microsoft fordert, kann die cracklib-Variante diese Auflagen nicht erfüllen. Die Passwörter werden verschlüsselt übertragen und abgelegt (encrypt password = yes). Dies sollte aus Sicherheitsgründen nicht aufgegeben werden. Eine Prüfung mittels PAM ist folglich nicht möglich, da die Passwörter dafür im Klartext vorliegen müssten. Eine Lösung bietet der Parameter 'check password script' in der smb.conf. Um diese Komplextät abzubilden habe ich das Beispiel aus der Samba-Doku mit diesen Zeilen gepatcht. Seit der Version 3.0.21b ist der Patch im Samba-Paket enthalten. Die gesamte Passwortprüfung ist ebenfalls mit diesem Perlscript möglich. Hier werden bei entsprechender 'locales'- Einstellung die deutschen Umlaute mit berücksichtigt (wovon eher abzuraten ist).

Der Text unterliegt der GPL.

Tom Geißler