Zum Inhalt

Benutzerverwaltung

LDAP Explorer bietet spezialisierte Funktionen für die Verwaltung von Benutzerkonten und Passwörtern.

Benutzer erstellen

Schnellassistent

  1. ExtrasBenutzer erstellen
  2. Füllen Sie die Felder aus:
Feld Beschreibung
Vorname givenName
Nachname sn
Benutzername uid oder cn
E-Mail mail
Passwort userPassword
  1. Wählen Sie den Zielcontainer
  2. Klicken Sie auf Erstellen

Vorlage verwenden

  1. Wählen Sie eine Benutzervorlage
  2. Attribute werden vorausgefüllt
  3. Passen Sie die Werte an
  4. Erstellen Sie den Benutzer

Passwort verwalten

Passwort setzen

  1. Rechtsklick auf Benutzer → Passwort setzen
  2. Geben Sie das neue Passwort ein
  3. Bestätigen Sie das Passwort
  4. Wählen Sie den Hash-Algorithmus
  5. Klicken Sie auf Setzen

Hash-Algorithmen

Algorithmus Sicherheit Beschreibung
SSHA ⭐⭐⭐⭐ Salted SHA-1 (empfohlen für Kompatibilität)
SSHA256 ⭐⭐⭐⭐⭐ Salted SHA-256
SSHA512 ⭐⭐⭐⭐⭐ Salted SHA-512
PBKDF2 ⭐⭐⭐⭐⭐ Modern, falls unterstützt
ARGON2 ⭐⭐⭐⭐⭐ Modernster Algorithmus
CRYPT ⭐⭐⭐ Unix crypt (legacy)
MD5 Veraltet, nicht empfohlen
Klartext Nur für Tests

Passwort prüfen

  1. RechtsklickPasswort prüfen
  2. Geben Sie das zu testende Passwort ein
  3. Ergebnis: ✅ Korrekt oder ❌ Falsch

Passwortrichtlinien (ppolicy)

Richtlinie anzeigen

  1. Wählen Sie den Benutzer
  2. ExtrasPasswortrichtlinie anzeigen

Richtlinienattribute

Attribut Beschreibung
pwdMaxAge Maximales Passwortalter
pwdMinLength Minimale Passwortlänge
pwdInHistory Passworthistorie
pwdLockout Sperrung nach Fehlversuchen
pwdMaxFailure Max. Fehlversuche
pwdLockoutDuration Sperrdauer
pwdMustChange Änderung beim nächsten Login

Benutzerstatus prüfen

Im Benutzerprofil sehen Sie:

  • 🟢 Aktiv: Konto ist entsperrt
  • 🔴 Gesperrt: Konto ist gesperrt
  • Läuft ab: Passwort läuft bald ab
  • ⚠️ Muss ändern: Passwort muss geändert werden

Konto entsperren

  1. RechtsklickKonto entsperren
  2. Das Attribut pwdAccountLockedTime wird entfernt
  3. Fehlerzähler wird zurückgesetzt

Kontostatus

Konto aktivieren/deaktivieren

Methode 1: nsAccountLock (389 Directory Server) 

nsAccountLock: true   # deaktiviert
nsAccountLock: false  # aktiviert

Methode 2: pwdAccountLock (OpenLDAP) 

pwdAccountLockedTime: 000001010000Z  # dauerhaft gesperrt

Methode 3: shadowExpire (POSIX) 

shadowExpire: 1  # abgelaufen (deaktiviert)

Status ändern

  1. RechtsklickKonto deaktivieren / Konto aktivieren
  2. Das entsprechende Attribut wird gesetzt

Gruppenmitgliedschaft

Gruppen anzeigen

  1. Wählen Sie den Benutzer
  2. Im Panel rechts unter Gruppenmitgliedschaften

Oder:

  1. RechtsklickGruppenmitgliedschaften anzeigen

Zu Gruppe hinzufügen

  1. RechtsklickZu Gruppe hinzufügen
  2. Wählen Sie die Gruppe(n)
  3. Klicken Sie auf Hinzufügen

Aus Gruppe entfernen

  1. RechtsklickAus Gruppe entfernen
  2. Wählen Sie die Gruppe(n)
  3. Klicken Sie auf Entfernen

Benutzer suchen

Schnellsuche

Verwenden Sie Filter für Benutzersuchen:

(&(objectClass=inetOrgPerson)(|(cn=*mustermann*)(mail=*@example.com)))

Inaktive Benutzer finden

Benutzer ohne Login in den letzten 90 Tagen:

  1. SucheErweitert
  2. Filter: Prüfen Sie authTimestamp oder pwdChangedTime

Gesperrte Benutzer finden

(&(objectClass=inetOrgPerson)(pwdAccountLockedTime=*))

Massenoperationen

Mehrere Benutzer erstellen

  1. ExtrasMassenimport
  2. Laden Sie eine CSV-Datei:
uid,givenName,sn,mail
mmustermann,Max,Mustermann,max@example.com
aschmidt,Anna,Schmidt,anna@example.com
  1. Ordnen Sie die Spalten zu
  2. Klicken Sie auf Importieren

Passwörter zurücksetzen

  1. Suchen Sie die betroffenen Benutzer
  2. Wählen Sie alle aus (Strg+A)
  3. RechtsklickPasswort zurücksetzen
  4. Wählen Sie eine Option:
  5. Gleiches Passwort für alle
  6. Zufällige Passwörter generieren
  7. Optional: Muss Passwort ändern aktivieren

Benutzer deaktivieren

  1. Wählen Sie mehrere Benutzer
  2. RechtsklickKonten deaktivieren
  3. Bestätigen Sie die Aktion

Vorlagen

Vorlage erstellen

  1. Bearbeiten Sie einen Muster-Benutzer
  2. RechtsklickAls Vorlage speichern
  3. Geben Sie einen Namen ein

Vorlage verwenden

  1. ExtrasBenutzer aus Vorlage
  2. Wählen Sie die Vorlage
  3. Passen Sie die individuellen Werte an

Variablen in Vorlagen

Variable Beschreibung
{givenName} Vorname
{sn} Nachname
{uid} Benutzername
{date} Aktuelles Datum
{random} Zufallswert

Self-Service (Optional)

Passwort-Self-Service

Falls konfiguriert, können Benutzer:

  • Eigenes Passwort ändern
  • Sicherheitsfragen beantworten

Konfiguration

Siehe Serverkonfiguration für Self-Service-Einrichtung.

Audit und Compliance

Änderungsverlauf

Für jeden Benutzer können Sie sehen:

  1. RechtsklickÄnderungsverlauf
  2. Zeigt alle Modifikationen

Passworthistorie

Das pwdHistory-Attribut speichert vorherige Passwort-Hashes (abhängig von ppolicy-Konfiguration).

Berichte erstellen

  1. BerichteBenutzerbericht
  2. Wählen Sie die Kriterien:
  3. Inaktive Benutzer
  4. Gesperrte Konten
  5. Passwörter ablaufend
  6. Exportieren Sie als CSV oder PDF

Best Practices

Sicherheit

  • ✅ Starke Hash-Algorithmen verwenden (SSHA256+)
  • ✅ Passwortrichtlinien aktivieren
  • ✅ Regelmäßige Überprüfung inaktiver Konten
  • ✅ Audit-Logging aktivieren

Verwaltung

  • ✅ Vorlagen für konsistente Benutzer
  • ✅ Namenkonventionen definieren
  • ✅ Gruppenmitgliedschaften über Gruppen verwalten
  • ✅ Regelmäßige Berichte erstellen