■Samba4のパスワードポリシー
Samba4で構築したActiveDirectoryにおいてユーザを作成した際のパスワードポリシーについて以下のコマンドでデフォルトのものを表示できます。
# samba-tool domain passwordsettings show Password informations for domain 'DC=officepcv1,DC=unix-power,DC=net' Password complexity: on Store plaintext passwords: off Password history length: 24 Minimum password length: 7 Minimum password age (days): 1 Maximum password age (days): 42 Account lockout duration (mins): 30 Account lockout threshold (attempts): 0 Reset account lockout after (mins): 30 |
WindowsのActiveDirectoryであればグループポリシーでパスワードポリシーを設定可能で、Samba4でも設定項目としてはあるのですが、これは実は設定しても有効にはならず、上記の設定を編集することで有効となります。各々の出力の意味は以下となります。
| 項目 | 説明 |
| Password complexity | パスワードの複雑性 ( 英数字記号混在、3文字以上、ユーザ名を含まない ) を強制 |
| Store plaingtext passwords | パスワードを平文のまま保存するかしないか |
| Password history length | 過去のパスワードを何世代保存しておくか |
| Minimum password length | 最小パスワード長 |
| Minimum password age | パスワード変更禁止期間 ( 0にすると即座に変更可能 ) |
| Maximum password age | パスワード有効期限 ( 0にすると無期限 ) |
| Account lockout duration | 一定回数、パスワードを間違った場合にロックされる期間 (分) |
| Account lockout threshold | パスワードがロックされるまでの試行回数しきい値 ( 0はロックされない ) |
| Reset account lockout after | パスワード試行回数が0になるまでの時間 (分) |
上記のパラメーターは具体的に下記のコマンドで編集することができます。
※パスワード複雑性を無効化 # samba-tool domain passwordsettings set --complexity=off ※最小パスワード長を6に変更 # samba-tool domain passwordsettings set --min-pwd-length=6 ※パスワード変更禁止期間を0に変更 # samba-tool domain passwordsettings set --min-pwd-age=0 ※パスワード有効期限を無期限に変更 # samba-tool domain passwordsettings set --max-pwd-age=0 ※パスワードロック期間を60分に変更 # samba-tool domain passwordsettings set --account-lockout-duration=60 ※パスワードロックの試行回数を5に変更 # samba-tool domain passwordsettings set --account-lockout-threshold=5 ※パスワード試行回数が0になるまでの時間を5分に変更 # samba-tool domain passwordsettings set --reset-account-lockout-after=5 |
上記を実施した後、変更が有効になっているか再度ポリシーを表示して確認してみます。
# samba-tool domain passwordsettings show Password informations for domain 'DC=officepcv1,DC=unix-power,DC=net' Password complexity: off Store plaintext passwords: off Password history length: 24 Minimum password length: 6 Minimum password age (days): 0 Maximum password age (days): 0 Account lockout duration (mins): 60 Account lockout threshold (attempts): 5 Reset account lockout after (mins): 5 |
実際に変更したポリシーはWindowsのRSATでも適用されるし、samba-toolで変更する際にも適用されます。samba-toolを使ったパスワード変更コマンドは以下のようになります。
※testuserのパスワードをPassw0rd!に変更する場合 # samba-tool user setpassword testuser --newpassword=Passw0rd! |
自分自身のパスワードはWindows上でも変更可能です。