UnixPower on Networking
  http://www.unix-power.net/

 
 Top - Linux - CentOS7 Samba4のパスワードポリシー



■Samba4のパスワードポリシー


Samba4で構築したActiveDirectoryにおいてユーザを作成した際のパスワードポリシーについて以下のコマンドでデフォルトのものを表示できます。

# samba-tool domain passwordsettings show
Password informations for domain 'DC=officepcv1,DC=unix-power,DC=net'

Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30


WindowsのActiveDirectoryであればグループポリシーでパスワードポリシーを設定可能で、Samba4でも設定項目としてはあるのですが、これは実は設定しても有効にはならず、上記の設定を編集することで有効となります。各々の出力の意味は以下となります。

項目 説明 
Password complexity  パスワードの複雑性 ( 英数字記号混在、3文字以上、ユーザ名を含まない ) を強制 
Store plaingtext passwords パスワードを平文のまま保存するかしないか 
Password history length 過去のパスワードを何世代保存しておくか 
Minimum password length  最小パスワード長
Minimum password age  パスワード変更禁止期間 ( 0にすると即座に変更可能 )
Maximum password age パスワード有効期限 ( 0にすると無期限 )
Account lockout duration 一定回数、パスワードを間違った場合にロックされる期間 (分)
Account lockout threshold パスワードがロックされるまでの試行回数しきい値 ( 0はロックされない ) 
Reset account lockout after パスワード試行回数が0になるまでの時間 (分)


上記のパラメーターは具体的に下記のコマンドで編集することができます。

※パスワード複雑性を無効化
# samba-tool domain passwordsettings set --complexity=off

※最小パスワード長を6に変更
# samba-tool domain passwordsettings set --min-pwd-length=6

※パスワード変更禁止期間を0に変更
# samba-tool domain passwordsettings set --min-pwd-age=0

※パスワード有効期限を無期限に変更
# samba-tool domain passwordsettings set --max-pwd-age=0

※パスワードロック期間を60分に変更
# samba-tool domain passwordsettings set --account-lockout-duration=60

※パスワードロックの試行回数を5に変更
# samba-tool domain passwordsettings set --account-lockout-threshold=5

※パスワード試行回数が0になるまでの時間を5分に変更
# samba-tool domain passwordsettings set --reset-account-lockout-after=5

上記を実施した後、変更が有効になっているか再度ポリシーを表示して確認してみます。

# samba-tool domain passwordsettings show
Password informations for domain 'DC=officepcv1,DC=unix-power,DC=net'

Password complexity: off
Store plaintext passwords: off
Password history length: 24
Minimum password length: 6
Minimum password age (days): 0
Maximum password age (days): 0
Account lockout duration (mins): 60
Account lockout threshold (attempts): 5
Reset account lockout after (mins): 5

実際に変更したポリシーはWindowsのRSATでも適用されるし、samba-toolで変更する際にも適用されます。samba-toolを使ったパスワード変更コマンドは以下のようになります。

※testuserのパスワードをPassw0rd!に変更する場合
# samba-tool user setpassword testuser --newpassword=Passw0rd!

自分自身のパスワードはWindows上でも変更可能です。



 Copyright(C) 2003-2015 UnixPower on Networking All rights reserved.