Der 389DS verwendet als globalen Service-Administrator den Account "cn=Directory-Manager". Er bekommt beim Setup ein Passwort zugewiesen, danach gelten für diesen Account keinerlei Einschränkungen mehr. Meldet man sich mit diesem Konto am Directory-Server an, lassen sich ohne weiteres die Passwörter anderer Benutzer zurücksetzen, neu definieren oder der eingesetzte Verschlüsselungsalgorithmus und andere Eigenschaften eines Passworts ändern. Dummerweise war es lange Zeit so, dass kein anderer Benutzer die soeben aufgeführten Änderungen an Benutzer-Passwörtern durchführen konnte. Dies hatte oftmals zur Folge, dass das Passwort für den Directory-Manager allen Passwort-Administratoren bekannt war und sie somit komplette Kontrolle über den Server hatten.
Mittlerweile bietet der Server eine neue Funktion an, mit der sich eine Gruppe von Passwort-Administratoren definieren lässt, die Änderungen an Benutzer-Passwörtern durchführen dürfen, ohne hierfür die komplette Kontrolle über das gesamte System zu erhalten. Auch das Setzen bereits verschlüsselter Passwörter funktioniert ohne Probleme.
Die Gruppe der
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.