Winbind/Expired password: различия между версиями

Материал из ALT Linux Wiki
Строка 73: Строка 73:


После ввода в домен и изменения файла перезагрузите компьютер.
После ввода в домен и изменения файла перезагрузите компьютер.
== Журнал входа ==
journalctl -g pam_winbind

Версия от 13:17, 26 января 2024

Настройка и отладка реакции на устаревание пароля пользователя в Active Directory для машины, введённой в Active Directory через winbind.

Проверка среды

В качестве примера используется система Альт Рабочая станция 10.1, полностью обновлённая на 26 января 2024 года.

Установка:

apt-get install task-auth-ad-winbind

Проверка версии пакета:

# rpm -q samba-winbind
samba-winbind-4.17.12-alt4.x86_64
Внимание! Полноценная смена пароля при устаревании доступна с samba-winbind-4.17.


Проверка устаревания пароля на сервере

# samba-tool user create ex_test4
New Password: 
Retype Password: 
User 'ex_test4' added successfully

Создаём и применяем PSO для пользователя:

# samba-tool domain passwordsettings pso create 1day_expired 1 --max-pwd-age=2 --min-pwd-age=1
Not all password policy options have been specified.
For unspecified options, the current domain password settings will be used as the default values.
PSO successfully created: CN=1day_expired,CN=Password Settings Container,CN=System,DC=test,DC=alt
Password information for PSO '1day_expired'

Precedence (lowest is best): 1
Password complexity: off
Store plaintext passwords: off
Password history length: 24
Minimum password length: 1
Minimum password age (days): 1
Maximum password age (days): 2
Account lockout duration (mins): 30
Account lockout threshold (attempts): 3
Reset account lockout after (mins): 30
# samba-tool domain passwordsettings pso apply 1day_expired ex_test4
PSO '1day_expired' applied to 'ex_test4'

Проверяем дату устаревания пароля для пользователя ex_test4:

# rpcclient -c "lookupnames ex_test4" -P c253.test.alt | sed 's/^.*-\([0-9]\+\) .*$/\1/'
1233
# rpcclient -c "queryuser 1233" -P c253.test.alt | grep -E 'User Name|Password must change Time'        User Name   :   ex_test4
        Password must change Time:      Вс, 28 янв 2024 12:01:28 MSK

Ввод в домен через winbind

# system-auth write ad test.alt host-209 test Administrator 'Pa$$word' --winbind --gpo
Using short domain name -- TEST
Joined 'HOST-209' to dns domain 'test.alt'
DNS update failed!

Настройка pam_winbind

. shell-ini-config
export shell_ini_config_prefix=
ini_config_set /etc/security/pam_winbind.conf global debug yes
ini_config_set /etc/security/pam_winbind.conf global silent no
ini_config_set /etc/security/pam_winbind.conf global pwd_change_prompt yes

Проверка содержимого файла:

# grep '^[a-z\[]' /etc/security/pam_winbind.conf
[global]
cached_login = yes
krb5_auth = yes
krb5_ccache_type = KEYRING
silent = no
debug = yes
pwd_change_prompt = yes

После ввода в домен и изменения файла перезагрузите компьютер.

Журнал входа

journalctl -g pam_winbind