Welcher Admin kennt nicht die Anrufe von Benutzern, die ihr Kennwort vergessen haben? Kommt das seltener als 1-2 mal pro Tag vor, ist alles noch einfach zu handhaben. Wie verhält sich so etwas aber bei tausenden von Benutzern, die möglicherweise nur peripher mitbekommen, dass das Kennwort überhaupt abläuft? Oder bei Nutzern, die sich nicht täglich an einem Windows PC anmelden, der über den Ablauf von Kennworten informiert? Oder bei Nutzern, die einmalig bei Ersteingabe das Kennwort im Mailprogramm oder Browser abspeichern und deswegen bis zum Ablauf des Kennwortes keine Notwendigkeit haben, sich an das Kennwort zu erinnern?
Dann hat man entweder regelrechte Sprechstunden für vergessliche Nutzer (an die sich diese natürlich nicht halten), eine Passwort-Hotline oder man beschafft eine entsprechende Password Self Service Software.
Password Self Service kennt man üblicherweise entweder von diversen Webmailanbietern wie Hotmail oder auch von Webforen. Bei letzteren bekommt man im Allgemeinen sein neues Kennwort an die Emailadresse gesandt, mit der man sich registriert hat. Das ist bei einer Lösung mit Exchangepostfächern natürlich wenig hilfreich, da man das Passwort für das Active Directory Konto auch für den Zugriff auf das Postfach benötigt. Genau darauf hat man aber keinen Zugriff, da man sein Kennwort vergessen hat. Eine andere Lösung sind sogenannte Frage und Antwort Modi, bei denen sich der Benutzer aus diversen Fragen eine oder mehrere aussucht und dazu entsprechende Antworten vergibt, die nur er kennt. Bspw: “Wie ist der Name Ihres ersten Haustieres?” oder “Wie lautet der Mädchenname Ihrer Mutter?”
Nach der Eingabe der korrekten Antworten kann man sich ein neues Kennwort vergeben und damit wieder anmelden.
Eine Lösung für Password Self Service bietet Sysop Tools mit Password Reset Pro für Active Directory.
Wie genau funktioniert das also?
Damit ein nicht authentifizierter Nutzer (er hat ja schliesslich sein Kennwort vergessen), ein neues Kennwort vergeben kann, benötigt er eine Möglichkeit sich gegenüber dem System zu legitimieren. Dies kann in Password Reset Pro über zwei Modi erfolgen.
- Profile Enrollment Mode
- Active Directory Data Mode
Zusätzlich gibt es einen dritten Modus „Domain Authentication only“, mit dem Benutzer ihr Kennwort ändern können. Ein Zurücksetzen eines vergessenen Passwortes ist hiermit allerdings nicht möglich, weswegen dieser Modus im Artikel nicht weiter berücksichtigt wird.
Profile Enrollment Mode
Im Profile Enrollment Mode muß sich der Anwender einmalig eine Kombination aus vorgebenem Bild und frei definierbaren Sicherheits-Wort wählen. Über beide Informationen wird dann ein Hash gebildet und verschlüsselt im Active Directory gespeichert. Mit Hilfe dieser Kombination ist es ihm möglich, das vergessene Passwort zurückzusetzen. Natürlich kann der Administrator auch Worte und User ausschließen. Bspw. sind Worte die das gewählte Bild bezeichnen dann doch zu einfach. Administrative Accounts können ebenfalls ausgeklammert werden.
Abbildung 1: Einstellungen des Sicherheits-Wortes
Sobald der Nutzer die Webseite von Password Reset aufruft, kann er sich „einschreiben“. Hierzu muß er sich mit seinem Nutzernamen und seinem (nicht vergessenem Kennwort) identifizieren. Er wählt aus den angezeigten Bildern eines aus, und gelangt so zum zweiten Schritt.
Abbildung 2: Gewähltes Bild anklicken
Hier wählt er ein Wort, welches nur den Bedingungen aus Abbildung 1 entsprechen muss. Danach ist der Einschreibevorgang abgeschlossen.
Kommentare, dass sich die Nutzer die Kombination von Bild und frei wählbarem Wort ebenfalls nicht merken können sind verständlich. Aber anscheinend fällt es vielen Nutzern doch einfacher, als sich ein ein komplexes Kennwort allein zu merken.
Abbildung 3: Sicherheits-Wort eingeben
Abbildung 4: AD Passwort zurücksetzen
Info: Alle Daten werden innerhalb des Active Directory gespeichert. Es sind keine zusätzlichen Datenbanken wie SQL o.ä. notwendig. Beim „Enrollment“ generiert der Masterservice mit den beiden Komponenten (Bild und Sicherheits-Wort) einen AES-256 verschlüsselten „logischen Zeiger“. Dieser Zeiger wird im Attribut „altSecurityIdentities“ des Benutzerobjekts im Active Directory gespeichert. Dieses Attribut existiert in jedem Active Directory und ist für solche Zwecke vorgesehen:
http://msdn.microsoft.com/en-us/library/windows/desktop/ms675221(v=vs.85).aspx
Abbildung 5: Eingeschriebener AD-Benutzeraccount
Wie erwähnt, ist hierzu ein einmaliges Einschreiben aller Nutzer notwendig, damit obige Methode funktioniert. Password Reset Pro stellt dem Administrator hierzu eine Konsole zur Verfügung, in welcher erkennbar ist, wie viele seiner Nutzer bereits eingeschrieben sind. Säumige Nutzer können per Emailvorlage über die Notwendigkeit zum Einschreiben informiert werden.
Über den Stand des Enrollments wird der Administrator mit täglichen Reports oder durch einen Blick in die Report-Konsole unterrichtet.
Active Directory Data Mode
Im Active Directory Data Mode ist das Einschreiben (Pre-Enrollment) nicht notwendig. Der Administrator legt entsprechende Attribute im Administrationstool fest, auf deren Basis die Frage(n) gestellt werden soll(en). Beispielsweise kann in einem AD-Attribut die Information über Telefonnummer oder Büro gespeichert werden. Dem Nutzer werden im Webportal die Fragen „Wie lautet Ihre dienstliche Telefonnummer? und „In welchem Bürogebäude sitzen Sie?“ präsentiert und er muss alle korrekt beantworten. Die Antworten werden dann mit den Werten im entsprechenden AD-Attribut verglichen und als korrekt oder fehlerhaft gewertet. Es sind alle verfügbaren AD-Attribute möglich. Das Active Directory hält jedoch viele Attribute für Domänenbenutzer lesbar bereit. Deswegen sollte man sich im Klaren darüber sein, sein, dass zwar keine Vorbereitung durch den Nutzer erforderlich ist, aber dass es durchaus Nutzer mit genügend „Elan“ gibt, die Kennworte anderer Nutzer auf Basis „freiverfügbarer“ Informationen zurücksetzen.
Technische Informationen zu Password Reset Pro
Password Reset Pro besteht aus den zwei Komponenten Webportal und Masterservice. Beide können entweder auf einem Server installiert werden ("single tier"), oder getrennt als sogenannte "two tier" Installation. Das Webportal bietet die Schnittstelle, welche der vergessliche Benutzer zu Gesicht bekommt. Der Masterservice ist die Komponente, welche die eigentliche Änderung im Active Directory vornimmt. Dieser Dienst benötigt entsprechend delegierte Rechte im AD, um die Kennworte der Nutzer zurücksetzen zu können. Die Verwendung von Domänenadminrechten ist nicht empfohlen.
Getestet wurde die Version 3.1.67, welche sowohl als 32- als auch 64-bit Applikation installiert werden kann. Allerdings sind Installationen derzeit nur auf englischsprachigem Betriebssystem möglich. Der Hersteller SysOp Tools hat aber Internationalisierung angekündigt (s. geplante Features).
Die Installation ist einfach zu erledigen, und wird vom Hersteller mit einer ausführlichen englischsprachigen Anleitung unterstützt.
http://www.sysoptools.com/support.aspx?tbc=0
Geplante Features
Natürlich gibt es auch Funktionen, die sich derzeit noch nicht im Produkt befinden, aber vom Hersteller bereits angekündigt wurden. Hierzu gehören u.a.
- Mobile Device Zugriff – Passwortänderungen und –entsperrungen vom iPhone, Windows Mobile, iPad, BlackBerry aus.
- Windows Vista, Windows 7 and Server 2008 Self Service Integration im Anmeldefenster
- Sharepoint-Plugin zum Anzeigen der Restlaufzeit des Passwortes
- Mehrsprachige Weboberfläche des Portals
Fazit
Das Programm erweist sich als erstaunlich einfach und praktisch im Alltag, und wird jedem Administrator, der die oben beschriebene Ausgangssituation kennt, eine Menge an Telefonanrufen ersparen. Mein bisheriger Kontakt mit dem Produktsupport über Email erfolgte schnell und unkompliziert (notwendig geworden wegen der Installation auf einem deutschsprachigen System). Wie der Punkt „geplante Features“ zeigt, ist trotzdem noch jede Menge Potenzial, welches in zukünftigen Veröffentlichungen realisiert werden sollen.
Die Lizenzkosten bewegen sich in einem Rahmen vergleichbarer Lösungen anderer Hersteller. Über die Webseite des Herstellers kann ein Angebot angefordert werden.
http://faq-o-matic.net/?p=3586