[samba-jp:19452] Re: smbldap コマンドによるユーザーパスワード無期限設定方法について。

[Hideo Takeuchi]

竹内 ＠ OSSTechです。

パスワードの有効期限については
sambaAcctFlagsが[UX]だけの設定ではNGです。

ご利用のsambaのバージョンが不明なのですが、
3.0.23や3.0.24では以下のパッチを当てることで
smbldap-toolsで設定可能となります。
https://bugzilla.samba.org/show_bug.cgi?id=2836

# smbldap-usermod -H [UX] ユーザ名
パッチ適用後はsambaAcctFlagsと共にsambaPwdMustChangeも
変更してくれます。
（パッチを当てる前はsambaAcctFlagsのみ変更となる）
パッチを当てられないという場合は、
LDAPのデータを直接変更するしかないですね。

ちなみに最新の3.0.25関連では未調査です
Samba 3.0.25pre2のリリースノートに以下のようにありますが。
o   Jim McDonough <jmcd ＠ us.ibm.com>
    * Fix "password never expires" policy which would be incorrectly
      require all users to change their password at login time.

上記のsmbldap-toolsではkondoさんの言うとおりユーザごとになります。


pdbeditでの設定はユーザごとではなく、
システム全体の設定となります。
WindowsNTのUSRMGRなどのアカウントポリシーの設定に該当。
こちらはシステムに設定するので既に登録されている
ユーザには有効ではありません。
有効でないと書くと語弊が生じますが。
既に登録されているユーザに反映させるには
一度パスワードを変更させる必要があるということです。


ちなみに
# pdbedit -P "maximum password age" -C 1
とありましたが、正確には

# pdbedit -P "maximum password age" -C -1
です。
# pdbedit -P "maximum password age" -d 2
とするとわかるかと思います。


> 初回ログイン時にパスワード変更を強制するっていうのがWindowsだと
> 可能ですが、Sambaでもできて、そのような設定になっているとか...

できますよ。
sambaPwdMustChange: 0
の場合、初回（次回）ログオン時にパスワードの変更が必要になります。