[samba-jp:22620] Re: pdbeditでのパスワード管理
Kaz Nishimura
kazssym @ vx68k.org
2015年 9月 18日 (金) 18:33:46 JST
なお参考までに、パスワードの定期的な変更を義務付けると、本人も覚えきれなくなるので、同じパスワードの使い回しが増えたり、何かに書き留めるようになって、むしろセキュリティーが低下するという意見もあることを付け加えておきます。
2015年9月18日(金) 18:26 Kaz Nishimura <kazssym @ vx68k.org>:
> 途中文字化けがあったようですが、pdbedit の -P
> で指定するのはシステム全体のポリシーなので、アカウント指定なしに全アカウントに対して有効になるものと理解しています。
>
> -P に指定できる値については存在しないパラメーター (例えば "") を指定すると有効な値が一覧で出てきます。パスワードの有効期間を設定するのなら
> pdbedit -P "maximum password age" -C 数値 とすれば良いだろうと思いますが、-1
> しか指定したことがないので、単位が秒なのかまでは把握しておりません。
>
> -C なしだとそのパラメーターの現在の設定値の表示、-C を付けると新しい値の設定という理解で良いかと思います。
> 2015年9月18日(金) 17:12 三反田@ひむか流通ネットワーク <santanda @ himuka.ne.jp>:
>
>> さんたんだです。
>>
>> 私が参考にしたpdbedit -P -Cの使い方ですがLDAP環境のような・・・・
>>
>> すみません、先ほどの返信メールは破棄します。
>>
>> 改めて、Password must change: に設定出来る記述をご教示頂ければ
>> 助かります。
>> # pdbedit -u testuser -P ???? -C 期限切れ日数?
>>
>>
>>
>>
>> On 2015/09/18 17:00, 三反田@ひむか流通ネットワーク wrote:
>> > さんたんだです。
>> >
>> > レスありがとうございました。
>> >
>> >>> pdbedit の -P と -C でアカウント ポリシーを設定するだけだと思うのですが。
>> > →すみません、オプションの意味合いを調べたのですがいまいちピンと来ず、
>> >
>> > -Pはこんな感じでしょうか?
>> >
>> --------------------------------------------------------------------------------
>> > パスワードの有効日数を設定することにより、sambaPwdMustChange の値が設定されることになる。
>> > 設定の方法は以下の通りである。
>> > LDAPのsamba用schemaには、パスワード有効日数に対応する属性がないので
>> > pdbedit (in samba-common) コマンドで設定する。
>> >
>> > 以下のコマンドによりパスワード有効日数を 45 日に設定する。
>> > 秒数で指定するので 3,888,000=24*60*60*45 となる。
>> > # pdbedit -P "maximum password age" -C 3888000
>> > account policy value for maximum password age is now 3888000
>> > #
>> > 設定内容を確認する。
>> > # pdbedit -P "maximum password age"
>> > account policy value for maximum password age is 3888000
>> > #
>> > これで、パスワード変更後に sambaPwdMustChange が更新される。
>> >
>> > -Cの使い方をご教示頂けると幸いです。
>> > ヘルプで見ても?でした。
>> > -C, --value=LONG set the account policy to this value
>> >
>> >
>> >
>> >>> pdbedit の -P と -C でアカウント ポリシーを設定するだけだと思うのですが。
>> >
>> >
>> >> さんたんだです。
>> >>
>> >> お世話になります。
>> >>
>> >> Samba3.6.9でファイルサーバ運用しています。
>> >> 敢えてドメインでは無く通常のWorkgroup運用ですが、会社のルールにより
>> >> Sambaサーバのパスワード管理を明確に行う必要が発生しまして、その対応
>> >> 方法を模索しています。定期サイクルで変更を行わせる内容です。
>> >>
>> >> 方法1:以下のpdbedit情報を利用して定期的に、Password last set: 、
>> >> Password can change:を拾って対象者に変更促進をメール等で
>> >> 促す。自作シェルが必要。
>> >>
>> >> 方法2:Password must change: 部分に次回のパスワード変更期限を設定して
>> >> 強制的に変更を促せないか?
>> >> 希望は、Windows上に「パスワード変更せよ!」みたいな画面が表示
>> >> されればGoodです・・・・無理かな?
>> >>
>> >>
>> >> [root @ testsv ~]# pdbedit -v testuser
>> >> Unix username: testuser
>> >> NT username:
>> >> Account Flags: [U ]
>> >> User SID: S-1-5-21-774275538-2350900091-3173156921-1020
>> >> Primary Group SID: S-1-5-21-774275538-2350900091-3173156921-513
>> >> Full Name: テストユーザ
>> >> Home Directory: \\testsv\testuser
>> >> HomeDir Drive:
>> >> Logon Script:
>> >> Profile Path: \\testsv\testuser\profile
>> >> Domain: TESTSV
>> >> Account desc:
>> >> Workstations:
>> >> Munged dial:
>> >> Logon time: 0
>> >> Logoff time: 木, 07 2月 2036 00:06:39 JST
>> >> Kickoff time: 木, 07 2月 2036 00:06:39 JST
>> >> Password last set: 金, 18 9月 2015 08:44:54 JST
>> >> Password can change: 金, 18 9月 2015 08:44:54 JST
>> >> Password must change: never
>> >> Last bad password : 0
>> >> Bad password count : 0
>> >> Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
>> >>
>> >
>>
>>
samba-jp メーリングリストの案内