Hintergrund
Ein Nutzer, der sein Passwort vergessen hat, kann auf dem Anmeldebildschirm ein neues Passwort anfordern. Hierbei kommt es zu unterschiedlichen Rückmeldungen vom System, je nachdem ob ein korrekter Nuternamen angegeben wurde oder nicht.
Die könnte von einem Dritten ausgenutzt werden, um zumindest einen Anhaltspunkt über gültige und registrierte Nuternamen zu erhalten. Das Passwort selbst ist auf diesem Wege zu keiner Zeit einsehbar.
Überblick:
Beschreibung
Wenn Sie auf einen externe Verzeichnisdienste zur Nutzerverwaltung zurückgegreifen (bspw. LDAP), ist die Option "Passwort vergessen" absolet. Die Verwaltung der Passwörter wird über den Verzeichnisdienst geregelt. Entsprechend kann die Option "Passwort vergessen?" deaktiviert werden.
Hierzu muss in den Sicherheitseinstellungen von Confluence die Option "Externe Benutzerverwaltung" aktiviert werden.
Diese rufen Sie unter der folgenden Adresse auf:
https://<yourConfluenceHost>:<yourConfluencePort>/user/admin/viewsecurityconfig.action
Quelle: CONF-6847
Tipps und Tricks
–