[samba-jp:22625] Re: pdbeditでのパスワード管理

[TAKAHASHI Motonobu]

たかはしもとのぶです。

> On Fri, Sep 18, 2015 at 7:05 PM 三反田@ひむか流通ネットワーク <santanda ＠ himuka.ne.jp>
> wrote:
>> さんたんだです。
>>
>> 全体ですか・・・・全体は厳しいですね
>> 行いたい事は、試行ですのでユーザ単位で行えたらと・・・如何でしょうか？

From: Kaz Nishimura <kazssym ＠ vx68k.org>
Date: Fri, 18 Sep 2015 11:54:21 +0000
> とりあえず一部のユーザーに対して試したいと言うことなら pdbedit -c "[UX]"
> などによって他のアカウントが期限切れにならないようにしてから、試すぐらいでしょうかね。

パスワードの有効期限などのアカウントポリシーは、Windows サーバで
あっても、PSO などを使わない限りは、原則サーバ単位なので、ユーザ
単位に設定する方法はないはずです。

サーバ単位に設定する方法は、にしむらさんの記載のとおりですが、
残念ながら、

> 方法２：Password must change: 部分に次回のパスワード変更期限を設定して
> 強制的に変更を促せないか？
> 希望は、Windows上に「パスワード変更せよ！」みたいな画面が表示
> されればGooｄです・・・・無理かな？

のように、パスワード変更を促すことができません。

# ドメイン環境でのドメインユーザのログオン、ローカルマシンへの
  ログオンであれば、ログオン時に警告が表示されますが

そのため、結局は

> 方法１：以下のpdbedit情報を利用して定期的に、Password last set: 、
> 　　　　　Password can change:を拾って対象者に変更促進をメール等で
> 　　　　　促す。自作シェルが必要。

のような方法が必要だと思います。

ただ、Samba を弁護しておくと、Windows サーバであっても、
リモートのスタンドアロンサーバのパスワード有効期限については、
ログオン時などに通知する方法がないため、同様の対応が必要です。

-----
TAKAHASHI Motonobu <monyo ＠ monyo.com> / @damemonyo 
                   facebook.com/takahashi.motonobu