Если Вы используете SAMBA в качестве контроллера домена Window, то управлять групповыми политиками необходимо с помощью утилиты - pdbedit.
В данной заметке хочу описать и привести примеры ее использования:
Просмотр перечня всех существующих груповых политик домена:
[root@router ~]# pdbedit -P ?
No account policy by that name!
Account policy names are:
min password length
password history
user must logon to change password
maximum password age
minimum password age
lockout duration
reset count minutes
bad lockout attempt
disconnect time
refuse machine password change
Samba политики домена NT4
NT4 policy Name | Samba Policy Name | NT4 Range | Samba Range | Samba Default |
---|---|---|---|---|
Maximum Password Age | maximum password age | 0 - 999 (days) | 0 - 4294967295 (sec) | 4294967295 |
Minimum Password Age | minimum password age | 0 - 999 (days) | 0 - 4294967295 (sec) | 0 |
Minimum Password Length | min password length | 1 - 14 (Chars) | 0 - 4294967295 (Chars) | 5 |
Password Uniqueness | password history | 0 - 23 (#) | 0 - 4294967295 (#) | 0 |
Account Lockout - Reset count after | reset count minutes | 1 - 99998 (min) | 0 - 4294967295 (min) | 30 |
Lockout after bad logon attempts | bad lockout attempt | 0 - 998 (#) | 0 - 4294967295 (#) | 0 |
*** Not Known *** | disconnect time | TBA | 0 - 4294967295 | 0 |
Lockout Duration | lockout duration | 1 - 99998 (min) | 0 - 4294967295 (min) | 30 |
Users must log on in order to change password | user must logon to change password | 0/1 | 0 - 4294967295 | 0 |
*** Registry Setting *** | refuse machine password change | 0/1 | 0 - 4294967295 | 0 |
Просмотреть значение параметра политики, можно так:
min password length - минимальная длинна пароля, который можно задать. В данном случае пароль должен быть не меньше 8-ми символов.[root@router ~]# pdbedit -P "НАЗВАНИЕ ПОЛИТИКИ"
password history - история пароля. Сохранять историю прежде вводимых паролей. Если указать, например значение "5", то старый пароль можно будет повтороно ввести только после 6-ти уникальных паролей.[root@router ~]# pdbedit -P "min password length" account policy "min password length" description: Minimal password length (default: 5) account policy "min password length" value is: 8
Пример, установим сохранение 3-х прежде введенных паролей:[root@router ~]# pdbedit -P "password history" account policy "password history" description: Length of Password History Entries (default: 0 => off) account policy "password history" value is: 0
user must logon to change password - требовать смену пароля при следующем входе в систему.[root@router ~]# pdbedit -P "password history" -C 3 account policy "password history" description: Length of Password History Entries (default: 0 => off) account policy "password history" value was: 0 account policy "password history" value is now: 3
maximum password age - Запрос смены пароля пользователям. Тут указываем количество времени в секудах, на протяжении которого пароль можно не менять. С этого момента времени пароль будет меняться в соответствии с политикой.[root@router ~]# pdbedit -P "user must logon to change password" account policy "user must logon to change password" description: Force Users to logon for password change (default: 0 => off, 2 => on) account policy "user must logon to change password" value is: 0
Пример, установим максимальный срок действия пароля 90дней:[root@router ~]# pdbedit -P "maximum password age" account policy "maximum password age" description: Maximum password age, in seconds (default: -1 => never expire passwords) account policy "maximum password age" value is: 4294967295
minimum password age - Минимальный срок действия пароля в секундах (по умолчанию: 0 => позволяют немедленного изменения пароля).[root@router ~]# pdbedit -P "maximum password age" -C 777600
Пример, установим минимальный срок действия пароля 80дней:[root@router ~]# pdbedit -P "minimum password age" account policy "minimum password age" description: Minimal password age, in seconds (default: 0 => allow immediate password change) account policy "minimum password age" value is: 0
lockout duration - время блокировки при неудачном входе. Устанавливаем в минутах, или ставим значение -1 - "на всегда" (учетная запись должна быть повторно включаться вручную).[root@router ~]# pdbedit -P "minimum password age" -C 691200
reset count minutes - сброс счетчика минут, блокировки учетной записи.[root@router ~]# pdbedit -P "lockout duration" account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever) account policy "lockout duration" value is: 1
bad lockout attempt - блокировка при неудачной попытке входа в домен.[root@router ~]# pdbedit -P "reset count minutes" account policy "reset count minutes" description: Reset time after lockout in minutes (default: 30) account policy "reset count minutes" value is: 30
Пример, в данном случае после 3-х неудачных попыток ввода пароля пользователем, он блокируется.[root@router ~]# pdbedit -P "bad lockout attempt" account policy "bad lockout attempt" description: Lockout users after bad logon attempts (default: 0 => off) account policy "bad lockout attempt" value is: 3
disconnect time - время до разъединения. Возможные значения: 0 - отключать пользователя, -1 - не отключать.[root@router ~]# pdbedit -P "bad lockout attempt" -C 3 account policy "bad lockout attempt" description: Lockout users after bad logon attempts (default: 0 => off) account policy "bad lockout attempt" value was: 3 account policy "bad lockout attempt" value is now: 3
refuse machine password change - отказываются менять пароль машины.[root@router ~]# pdbedit -P "disconnect time" account policy "disconnect time" description: Disconnect Users outside logon hours (default: -1 => off, 0 => on) account policy "disconnect time" value is: 4294967295
[root@router ~]# pdbedit -P "refuse machine password change" account policy "refuse machine password change" description: Allow Machine Password changes (default: 0 => off) account policy "refuse machine password change" value is: 0