[samba-jp:19087] Re: SAMBA ＋ LDAP

[oota ＠ mail.linux.bs1.fc.nec.co.jp]

太田@NECです。

On Tue, Dec 19, 2006 at 02:44:19AM +0900, TAKAHASHI Motonobu wrote:

> >   ユーザ管理(追加・変更・削除)＆パスワード変更を LDAP 側で行うことに運用
> >   を徹底してしていれば問題ないのかと思っていましたが問題あるのでしょうか？
> 
> もちろんそうですが、ユーザが Linux 上で勝手にパスワードを変更しないよ
> うにすることは Samba の制御できる範疇外なので、上記のように記載しまし
> た。

そうですね。複数のプログラムでパスワードを一元化してしまうときには、
パスワード変更のための専用のインタフェースを用意した方が安全でしょう。

Linux上でのパスワードの変更に関しては、利用者がLinuxマシンを直接使用する
のではない限り、ログインできないようにしてしまえばよいかと。

/bin/nologinとか/bin/falseを利用者用のシェルにするとかで。

--
太田 俊哉＠NEC OSS推進センター 基盤システム開発G(芝.港.東京.日本.地球) 
(samba-jp Staff/postmaster,mutt-j admin,analog-jp postmaster)