Passordskifte på andre brukarar

For å skifte ditt eige passord, sjå passordskifte på eigen brukar.

Lokale IT-ansvarlege ved ein enhet har tilgang til å skifte passord på brukarar tilknytta sin enhet. Dette gjerast i bofh.

Rutine for passordskifte

  1. Autentiser personen, sjå krav til autentisering.
    jbofh> person info fødselsnummer
    jbofh> person accounts fødselsnummer
  2. Sjekk om brukaren har andre karantener enn autopassord - sjå karantener.
    quarantine show account brukarnavn
  3. Sett nytt, tilfeldig passord på brukaren:
    user password brukarnavn
  4. Gje passordet til personen:
    misc list_passwords
  5. Opplys personen om at han deretter skal logge seg inn i brukerinfo for å lage seg eit nytt passord.
  6. Opplys personen om at det kan ta inntil 4 timar før passordet vil fungere i dei forskjellige IT-systema. I bofh og brukerinfo vil passordet fungere med ein gang.

Krav til autentisering

For å få skifte passord til ein brukar personen autentisere seg. Det er viktig at dette blir følgd opp, då det elles kan vere enkelt å stele ein brukarkonto.

Godkjend autentisering er offentleg ID-kort med bilde og fødselsnummer, til dømes:

  • Pass
  • Førarkort
  • Bank/kredittkort med bilde

Har ein ikkje dette, har ein heller ikkje lov til å gi personen eit nytt passord, då ein ikkje kan vite om det er riktig person. Sjå meir info i IT-reglementet.

Problem ved passordskifte

PermissionDenied: No access to disk checking for 'set_password'

Får du opp denne feilmeldinga når du køyrer user password brukarnavn betyr det at du ikkje har tilgang til å endre på denne brukaren fordi du ikkje har tilgang til disken brukaren ligg på. Send personen til Houston, eller til nokre som har tilgang til brukaren. For ein oversikt over grupper som har tilgang til brukaren:

jbofh> access user brukarnavn

Problem etter passordskifte

Av og til hender det at brukaren ikkje får logga på etter passordskifte. Sjekk følgande:

  1. Autentiser personen først. Er brukaren den han utgir seg for å vere?
  2. Sjekk når passordet sist vart endra - har endringa rukke å spre seg til alle systema?
    jbofh> user history brukarnavn
    Merk at det kan ta opptil 4 timar før eit passordskifte trer i kraft i alle datasystem.
  3. Sjekk om brukaren har aktive karantener:
    jbofh> quarantine show account brukarnavn
    
  4. Be personen sjekke om passordet er korrekt ved å køyre følgande kommando og la personen skrive inn passordet sitt:
    jbofh> misc verify_password brukarnavn

Passordskiftevarslingstenesta

Alle passord ved UiO må av tryggleiksårsaker byttast minst ein gang i året. For at dette skal bli overholdt er det lagt inn automatikk som varsler og sperrer brukarar med gamle passord.

Oppførselen til passordskiftevarslingstenesta

  1. Fem veker før fristen får brukarar eit varsel via e-post om at dei må bytte passord. Dette loggførast og ein kan sjå at brukaren har fått e-postvarsel i bofh med:
    jbofh> user history olano
        [...]
        Sat Oct 31 04:45:49 CET 2009 [notify_ch_passwd]: new trait  for olano, pw_notifications, numval=1, strval=2009-10-31,  date='2009-10-31'
  2. Ei veke før passordet går ut på dato får brukarar ei ny purring. At brukaren har fått varsel på e-post kan då sjåast i bofh med:
    jbofh> user history olano
        [...]
        Sat Oct 31 04:45:49 CET 2009 [notify_ch_passwd]: new trait for  olano, pw_notifications, numval=1, strval=2009-10-31, date='2009-10-31'
        Sat Nov 21 05:39:12 CET 2009 [notify_ch_passwd]: modified  trait for olano, pw_notifications, numval=2, strval=2009-10-31,  2009-11-21, date=2009-10-31 00:00:00.00
  3. Når passordet går ut på dato vil brukarar som framleis ikkje har bytta passord bli sperra med karantena autopassord:
    jbofh> quarantine show account olano
    Type           Start            End              Disable until  Who      Why
    autopassord    2009-12-05 00:00 <not set>        <not set>      bootstrap_account Password not changed

Karantena autopassord skal ikkje slettast. Den vil berre dukke opp att neste gang passordskiftevarslingstenesta køyrer.

Midlertidig tilgang for å skifte passord

Dersom ein brukar som har blitt sperra vil bytte til nytt passord, og husker sitt gamle passord, kan ein midlertidig oppheve karantena for brukaren med quarantine disable. På den måten kan brukaren straks logge på Brukerinfo og bytte passord. Hugs å ikkje slett passordkarantener.

Dersom dags dato hadde vore 1. januar 2010 kunne ein midlertidig oppheve karantena med:

jbofh> quarantine disable account olano autopassord 2010-01-02
OK, disabled quarantine autopassord for olano

No kan brukaren logge på IT-tenester som vanleg, og kan då skifte passord, men berre fram til den midlertidige opphevinga av karantena går ut. Når brukaren byttar passord vil autopassord-karantena automatisk fjernast.

Av og til hender det at brukarar har satt vidaresending av e-post til adresser som ikkje eksisterer og vil då ikkje få passordvarsel. Desse brukarane vil likevel bli sperra.

Enkelte kritiske brukarar er reserverte frå automatisk sperring frå passordskiftetenesta. Slike brukarar må vere forhåndsgodkjende av sikkerhetssjefen.

Publisert 5. mai 2010 10:41 - Sist endret 7. nov. 2017 10:48