Winbind/Expired password: различия между версиями
Строка 61: | Строка 61: | ||
ini_config_set /etc/security/pam_winbind.conf global silent no | ini_config_set /etc/security/pam_winbind.conf global silent no | ||
ini_config_set /etc/security/pam_winbind.conf global pwd_change_prompt yes | ini_config_set /etc/security/pam_winbind.conf global pwd_change_prompt yes | ||
Проверка содержимого файла: | Проверка содержимого файла: |
Версия от 13:16, 26 января 2024
Настройка и отладка реакции на устаревание пароля пользователя в Active Directory для машины, введённой в Active Directory через winbind.
Проверка среды
В качестве примера используется система Альт Рабочая станция 10.1, полностью обновлённая на 26 января 2024 года.
Установка:
apt-get install task-auth-ad-winbind
Проверка версии пакета:
# rpm -q samba-winbind samba-winbind-4.17.12-alt4.x86_64
Внимание! Полноценная смена пароля при устаревании доступна с samba-winbind-4.17.
Проверка устаревания пароля на сервере
# samba-tool user create ex_test4
New Password:
Retype Password:
User 'ex_test4' added successfully
Создаём и применяем PSO для пользователя:
# samba-tool domain passwordsettings pso create 1day_expired 1 --max-pwd-age=2 --min-pwd-age=1
Not all password policy options have been specified.
For unspecified options, the current domain password settings will be used as the default values.
PSO successfully created: CN=1day_expired,CN=Password Settings Container,CN=System,DC=test,DC=alt
Password information for PSO '1day_expired'
Precedence (lowest is best): 1
Password complexity: off
Store plaintext passwords: off
Password history length: 24
Minimum password length: 1
Minimum password age (days): 1
Maximum password age (days): 2
Account lockout duration (mins): 30
Account lockout threshold (attempts): 3
Reset account lockout after (mins): 30
# samba-tool domain passwordsettings pso apply 1day_expired ex_test4
PSO '1day_expired' applied to 'ex_test4'
Проверяем дату устаревания пароля для пользователя ex_test4:
# rpcclient -c "lookupnames ex_test4" -P c253.test.alt | sed 's/^.*-\([0-9]\+\) .*$/\1/'
1233
# rpcclient -c "queryuser 1233" -P c253.test.alt | grep -E 'User Name|Password must change Time' User Name : ex_test4
Password must change Time: Вс, 28 янв 2024 12:01:28 MSK
Ввод в домен через winbind
# system-auth write ad test.alt host-209 test Administrator 'Pa$$word' --winbind --gpo Using short domain name -- TEST Joined 'HOST-209' to dns domain 'test.alt' DNS update failed!
Настройка pam_winbind
. shell-ini-config export shell_ini_config_prefix= ini_config_set /etc/security/pam_winbind.conf global debug yes ini_config_set /etc/security/pam_winbind.conf global silent no ini_config_set /etc/security/pam_winbind.conf global pwd_change_prompt yes
Проверка содержимого файла:
# grep '^[a-z\[]' /etc/security/pam_winbind.conf
[global]
cached_login = yes
krb5_auth = yes
krb5_ccache_type = KEYRING
silent = no
debug = yes
pwd_change_prompt = yes
После ввода в домен и изменения файла перезагрузите компьютер.