ActiveDirectory/MachinePassword: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Нет описания правки
Строка 11: Строка 11:
Сменой пароля машинного аккаунта можно управлять с помощью групповых политик. Для этого нужно отредактировать параметр  политики домена по умолчанию (Default domain policy) '''"Domain member: Maximum machine account password age"''' ('''"Член домена: максимальный срок действия пароля учётной записи компьютера"'''), который располагается в подразделе '''"Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options"''' ('''"Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Параметры безопасности"'''). Значение по умолчанию: 30 дней.
Сменой пароля машинного аккаунта можно управлять с помощью групповых политик. Для этого нужно отредактировать параметр  политики домена по умолчанию (Default domain policy) '''"Domain member: Maximum machine account password age"''' ('''"Член домена: максимальный срок действия пароля учётной записи компьютера"'''), который располагается в подразделе '''"Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options"''' ('''"Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Параметры безопасности"'''). Значение по умолчанию: 30 дней.


С помощью другого параметра '''"<название на английском>"''' ('''"Член домена: отключить изменение пароля учётных записей компьютера"''') можно отключить обновления пароля машинного аккаунта совсем, но делать этого не рекомендуется.
С помощью другого параметра '''"Член домена: отключить изменение пароля учётных записей компьютера"''' можно отключить обновления пароля машинного аккаунта совсем, но делать этого не рекомендуется.


: Выше указанные параметры корректно работают на машинах с ОС MS Windows 2000 и старше.
: Выше указанные параметры корректно работают на машинах с ОС MS Windows 2000 и старше.
Строка 28: Строка 28:


==== Winbind ====
==== Winbind ====
Winbind, на текущий момент (samba-winbind 4.16.7), не умеет после смены пароля машинного аккаунта обновлять системный keytab файл (/etc/krb5.keytab). Следовательно, во избежание конфликтов с sssd, следует отключить этот функционал. Для этого в файл /etc/samba/smb.conf в секцию [global] необходимо добавить параметр machine password timeout = 0.
Winbind, на текущий момент (samba-winbind 4.16.7), не умеет после смены пароля машинного аккаунта обновлять системный keytab файл (/etc/krb5.keytab). Следовательно, во избежание конфликтов с sssd, следует отключить этот функционал. Для этого в файл /etc/samba/smb.conf в секцию [global] необходимо добавить параметр '''machine password timeout = 0'''.


'''/etc/samba/smb.conf'''
'''/etc/samba/smb.conf'''
Строка 39: Строка 39:
<source lang="bash"># apt-get install adcli</source>
<source lang="bash"># apt-get install adcli</source>


Так как Winbind не умеет обновлять системный keytab файл, то хранит текущий пароль машинного аккаунта в своей базе данных (/var/lib/samba/private/secrets.tdb). Необходимо включить в sssd функцию обновления пароля в этой базе. Для этого следует в файл /etc/sssd/ssd.conf в секцию [domain/<Домен>] добавить параметр ad_update_samba_machine_account_password = true.
Так как Winbind не умеет обновлять системный keytab файл, то хранит текущий пароль машинного аккаунта в своей базе данных (/var/lib/samba/private/secrets.tdb). Необходимо включить в sssd функцию обновления пароля в этой базе. Для этого следует в файл /etc/sssd/ssd.conf в секцию [domain/<Домен>] добавить параметр '''ad_update_samba_machine_account_password = true'''.


Периодичностью обновления пароля машинного аккаунта можно управлять с помощью параметра ad_maximum_machine_account_password_age в секции [domain/<Домен>] в /etc/sssd/ssd.conf.
Периодичностью обновления пароля машинного аккаунта можно управлять с помощью параметра '''ad_maximum_machine_account_password_age''' в секции [domain/<Домен>] в /etc/sssd/ssd.conf. Значение по умолчанию: 30 дней.


Для корректного функционирования обновления пароля машинного аккаунта sssd необходим доступ на запись в файл /etc/krb5.keytab. Для этого не достаточно привилегий пользователя _sssd, от которого обычно и запускается sssd. Необходимо запускать sssd с правами суперпользователя. Для этого следует в файле /etc/sssd/sssd.conf в секции [sssd] изменить значение параметра user на root.
Для корректного функционирования обновления пароля машинного аккаунта sssd необходим доступ на запись в файл /etc/krb5.keytab. Для этого не достаточно привилегий пользователя _sssd, от которого обычно и запускается sssd. Необходимо запускать sssd с правами суперпользователя. Для этого следует в файле /etc/sssd/sssd.conf в секции [sssd] изменить значение параметра user на root.
Строка 52: Строка 52:
[domain/<Домен>]
[domain/<Домен>]
ad_update_samba_machine_account_password = true</source>
ad_update_samba_machine_account_password = true</source>
: '''Внимание!''' Если вводить машину в домен с помощью Центра управления системой (модуль alterator-auth), то начиная с версии alterator-auth 0.43.13 следующие параметры прописываются в конфигурационные файлы по умолчанию:
* machine password timeout = 0
* ad_update_samba_machine_account_password = true
== Отключение обновления пароля машинного аккаунта ==
=== ОС Windows ===
Для отключения периодического обновления пароля машинного аккаунта на машинах под управлением ОС Windows 2000 и старше достаточно включить параметр групповой политики "Default Domain Policy" '''"Член домена: отключить изменение пароля учётных записей компьютера"'''.
=== ОС семейства Альт ===
Для отключения периодического обновления пароля машинного аккаунта на машинах под управлением ОС семейства Альт необходимо:
* В файле /etc/sssd/sssd.conf в секции [domain/<Домен>] изменить параметр '''ad_maximum_machine_account_password_age''' на 0.
* В файле /etc/samba/smb.conf в секции [global] изменить параметр '''machine password timeout''' на 0.
'''/etc/sssd/sssd.conf'''
<source lang="bash">[domain/<Домен>]
ad_maximum_machine_account_password_age = 0</source>
'''/etc/samba/smb.conf'''
<source lang="bash">[global]
machine password timeout = 0</source>


== Диагностика ==
== Диагностика ==
Строка 65: Строка 86:
Нас интересует поле '''Last machine account password change'''.
Нас интересует поле '''Last machine account password change'''.


=== Время жизни пароля в домене ===
=== Потеря доверия между машиной и доменом ===
Проверить, имеет ли возможность машина успешно аутентифицироваться в домене можно следующими способами:
<source lang="bash"># net ads testjoin</source>
<source lang="bash"># adcli testjoin</source>
<source lang="bash"># kinit -k MACHINE01\$@DOMAIN.ALT</source>
MACHINE01 - Имя машины в верхнем регистре
DOMAIN.ALT - Realm домена в верхнем регистре
 
: '''Важно!''' Команды нужно выполнять с привилегиями суперпользователя.
 
== Восстановление работоспособности ==
Если диагностика показал, что машина потеряла доверие с доменом, то, для восстановления работоспособности, необходимо выполнить следующие действия:
 
* Обновить систему (apt-get update && apt-get dist-upgrade).
* Удалить файл /etc/krb5.keytab.
* Повторно ввести машину в домен используя ЦУС.
* Убедиться, соответствуют ли конфигурационные файлы одному из сценариев "Включение обновления пароля машинного аккаунта" или "Отключение обновления пароля машинного аккаунта"
* Перезагрузите машину

Версия от 20:33, 10 февраля 2023

Настройки обновления паролей аккаунтов машин в домене Miscrosoft Active Directory и Samba DC.

Описание

После завершения процедуры ввода в домен каждая машина получает специальный аккаунт вида MACHINE01$. Такой аккаунт, ассоциированный с машиной, а не с конкретным пользователем, позволяет машине выполнять в домене действия от своего имени. Наприме: запрашивать информацию о пользователях, получать машинные групповые политики и т. д.

Как и у любого другого пользователя, у машинного пользователя есть свой пароль, генерируемый автоматически в процессе ввода машины в домен. В отличии от обычных пользователей, у машинных аккаунтов нет ограничения на время жизни пароля, но машина имеет возможность поменять его самостоятельно. По умолчанию машины с MS Windows 2000 и старше меняют пароль раз в 30 дней. Информация о последней смене пароля хранится в аттрибуте машинного аккаунта pwdlastset.

Локальная политика смены пароля машинного аккаунта

Сменой пароля машинного аккаунта можно управлять с помощью групповых политик. Для этого нужно отредактировать параметр политики домена по умолчанию (Default domain policy) "Domain member: Maximum machine account password age" ("Член домена: максимальный срок действия пароля учётной записи компьютера"), который располагается в подразделе "Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options" ("Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Параметры безопасности"). Значение по умолчанию: 30 дней.

С помощью другого параметра "Член домена: отключить изменение пароля учётных записей компьютера" можно отключить обновления пароля машинного аккаунта совсем, но делать этого не рекомендуется.

Выше указанные параметры корректно работают на машинах с ОС MS Windows 2000 и старше.
На машинах с ОС Альт (sssd 2.8.1) данные параметры игнорируются (необходимо проверить).
В ADMC, на данный момент (admc 0.11.2), нет возможности настроить данные параметры групповой политики. Необходимо использовать оснастку RSAT "Управление групповыми политиками".

Включение обновления пароля машинного аккаунта

ОС Windows

Для включения периодического обновления пароля машинного аккаунта на машинах под управлением ОС Windows 2000 и старше дополнительных действий не требуется. Периодичность обновления настраивается с помощью соответствующей групповой политики.

ОС семейства Альт

За обновление пароля машинного аккаунта на машинах под управлением ОС Альт отвечают сервисы sssd и winbind.

Winbind

Winbind, на текущий момент (samba-winbind 4.16.7), не умеет после смены пароля машинного аккаунта обновлять системный keytab файл (/etc/krb5.keytab). Следовательно, во избежание конфликтов с sssd, следует отключить этот функционал. Для этого в файл /etc/samba/smb.conf в секцию [global] необходимо добавить параметр machine password timeout = 0.

/etc/samba/smb.conf

[global]
machine password timeout = 0

SSSD

Sssd для обновления пароля машинного аккаунта использует утилиту adcli. Необходимо убедиться, что она установлена в системе.

# apt-get install adcli

Так как Winbind не умеет обновлять системный keytab файл, то хранит текущий пароль машинного аккаунта в своей базе данных (/var/lib/samba/private/secrets.tdb). Необходимо включить в sssd функцию обновления пароля в этой базе. Для этого следует в файл /etc/sssd/ssd.conf в секцию [domain/<Домен>] добавить параметр ad_update_samba_machine_account_password = true.

Периодичностью обновления пароля машинного аккаунта можно управлять с помощью параметра ad_maximum_machine_account_password_age в секции [domain/<Домен>] в /etc/sssd/ssd.conf. Значение по умолчанию: 30 дней.

Для корректного функционирования обновления пароля машинного аккаунта sssd необходим доступ на запись в файл /etc/krb5.keytab. Для этого не достаточно привилегий пользователя _sssd, от которого обычно и запускается sssd. Необходимо запускать sssd с правами суперпользователя. Для этого следует в файле /etc/sssd/sssd.conf в секции [sssd] изменить значение параметра user на root.

/etc/sssd/sssd.conf

[sssd]
user = root

[domain/<Домен>]
ad_update_samba_machine_account_password = true
Внимание! Если вводить машину в домен с помощью Центра управления системой (модуль alterator-auth), то начиная с версии alterator-auth 0.43.13 следующие параметры прописываются в конфигурационные файлы по умолчанию:
  • machine password timeout = 0
  • ad_update_samba_machine_account_password = true

Отключение обновления пароля машинного аккаунта

ОС Windows

Для отключения периодического обновления пароля машинного аккаунта на машинах под управлением ОС Windows 2000 и старше достаточно включить параметр групповой политики "Default Domain Policy" "Член домена: отключить изменение пароля учётных записей компьютера".

ОС семейства Альт

Для отключения периодического обновления пароля машинного аккаунта на машинах под управлением ОС семейства Альт необходимо:

  • В файле /etc/sssd/sssd.conf в секции [domain/<Домен>] изменить параметр ad_maximum_machine_account_password_age на 0.
  • В файле /etc/samba/smb.conf в секции [global] изменить параметр machine password timeout на 0.

/etc/sssd/sssd.conf

[domain/<Домен>]
ad_maximum_machine_account_password_age = 0

/etc/samba/smb.conf

[global]
machine password timeout = 0

Диагностика

Дата последней смены пароля

Дата последней смены пароля хранится в базе данных AD. Запросить её можно одни из способов, перечисленных ниже:

На введённой в домен машине выполняем с правами суперпользователя:

# net ads info

Если машина уже потеряла доверие в домене, то выполнить эту же команду от доменного пользователя:

# net ads info -U <user>

Нас интересует поле Last machine account password change.

Потеря доверия между машиной и доменом

Проверить, имеет ли возможность машина успешно аутентифицироваться в домене можно следующими способами:

# net ads testjoin
# adcli testjoin
# kinit -k MACHINE01\$@DOMAIN.ALT

MACHINE01 - Имя машины в верхнем регистре DOMAIN.ALT - Realm домена в верхнем регистре

Важно! Команды нужно выполнять с привилегиями суперпользователя.

Восстановление работоспособности

Если диагностика показал, что машина потеряла доверие с доменом, то, для восстановления работоспособности, необходимо выполнить следующие действия:

  • Обновить систему (apt-get update && apt-get dist-upgrade).
  • Удалить файл /etc/krb5.keytab.
  • Повторно ввести машину в домен используя ЦУС.
  • Убедиться, соответствуют ли конфигурационные файлы одному из сценариев "Включение обновления пароля машинного аккаунта" или "Отключение обновления пароля машинного аккаунта"
  • Перезагрузите машину