[Thinlinc-technical] Novell Password-expire med ThinLinc

Peter Astrand peter at cendio.se
Mon Aug 30 09:43:01 CEST 2004 

Här kommer lite detaljer kring problematiken med "password expire" i
Novell ihop med ThinLinc. 

Det finns två grundläggande modeller för att hantera utgånga lösenord:

1) "grace-modellen": Systemet börjar varna först *efter* att lösenordet 
har gått ut. Därefter kan man endast logga in ytterligare ett visst antal 
gånger, utan att byta lösenord. 


2) "early-warnings-modellen": Systemet börjar varna när lösenordet är *på*
*väg* att gå ut.


Modell 1 är vanlig i Novell-världen. Tyvärr fungerar den mkt dålig i en 
komplex miljö, t.ex. med tunna klienter och single-signon. Anledningen är 
att varje gång en autentisering görs (t.ex. via single-signon) så minskas 
grace-logins med ett. Exempel: Användaren kör ett Linuxskrivbord med 
koppling till en WTS. Varje gång en Windowsapplikation startas så minskas 
grace-logins. Detta är ett problem även med Citrix.

Ytterligare ett problem med modell 1 är att varje ThinLinc-inloggning gör 
3 st autentiseringar. Det är svårt att göra något åt detta, när man 
använder lastbalansering i ett kluster. Det här innebär att ifall 
användaren bara har 2 gracelogins kvar och försöker sig på en 
ThinLinc-inloggning så kommer kontot att låsas, utan att möjlighet ges att 
byta lösenord. 


Modell 2, som är den vanliga i Linux-världen, har ej ovanstående problem. 
Det enda egentligen problem med den är att Novell-klienten för Windows ej 
har någon inbyggd sådan funktion. Det finns dock tilläggsprogram för 
detta (http://www.novell.com/coolsolutions/tools/1911.html), som kan 
anropas ifrån loginskriptet. En stor fördel med detta är också att man via 
en if-sats kan välja att endast göra detta på feta arbetsstationer, så att 
man slipper varningar om lösenord när man kör Windowsapplikationer på en 
WTS. Det är ju irriterande att få dialoger om lösenord varje gång man 
startar Word...


Vi kommer att lägga till hjälpprogram till ThinLinc som varnar användaren
när lösenordet är på väg eller har gått ut, på samma sätt som Novells
Windowsklient. Vi kommer att stödja båda modellerna ovan. Vi rekommenderar
modell 2.

Hjälpprogrammen och dokumentation om detta kommer att ingå i ThinLinc 
1.3.2, men kommer att vara tillgängliga som tillägg till 1.3.1 också. 


-- 
Peter Åstrand		Chief Developer
Cendio			www.thinlinc.com
Teknikringen 3		www.cendio.se
583 30 Linköping        Phone: +46-13-21 46 00

More information about the Thinlinc-technical mailing list