Stratégie de mot de passe
Contrairement à un serveur Windows, sur lequel les policies des mots de passe s’effectue via les GPOs, Samba 4 doit être configuré manuellement avec samba-tool, en plus des GPOs. Configuration
samba-tool domain passwordsettings show Password informations for domain 'DC=ordinoscope,DC=localdomain'
Password complexity: on Store plaintext passwords: off Password history length: 24 Minimum password length: 7 Minimum password age (days): 1 Maximum password age (days): 42 Account lockout duration (mins): 30 Account lockout threshold (attempts): 0 Reset account lockout after (mins): 30
Historique des mots de passe (0 = pas d’historique, défaut: 24)
samba-tool domain passwordsettings set --history-length=0
Durée minimum avant de pouvoir changer son mot de passe (0 = pas de durée, défaut: 1 jour)
samba-tool domain passwordsettings set --min-pwd-age=0
Durée maximum d’un mot de passe, après laquelle l’utilisateur doit le changer (0 = illimité, défaut: 42 jours)
samba-tool domain passwordsettings set --max-pwd-age=0
Durée d’un bloquage (défaut: 30 minutes)
samba-tool domain passwordsettings set --account-lockout-duration=30
Nombre de mauvais mots de passe pour déclencher un bloquage (défaut: 0 – pas de bloquage)
samba-tool domain passwordsettings set --account-lockout-threshold=0
Durée avant le reset automatique du bloquage (défaut: 30 minutes)
samba-tool domain passwordsettings set --reset-account-lockout-after=0
L’aide sur la configuration des stratégies est accessible avec cette commande
samba-tool domain passwordsettings set --help
Utilisateurs
Sur le principe, Samba 4.x se comporte comme Samba 3.x. Contrairement à Samba 3.x (sauf si configuré en LDAP), l’utilisateur Samba n’a pas besoin d’exister en POSIX.
Samba 4.x amène un nouvel outil de gestion, samba-tool, bien plus adaptés aux besoin d’un AD que ceux de Samba 3.x. Création
Crée un nouvel utilisateur dans CN=Users du domaine du serveur
smbpasswd -a user
Crée un nouvel utilisateur (samba-tool)
samba-tool user add user
samba-tool user create user
Samba-tool user add contient beaucoup plus d’options que smbpasswd –must-change-at-next-login Force password to be changed on next login –random-password Generate random password –use-username-as-cn Force use of username as user’s CN –userou=USEROU Alternative location (without domainDN counterpart) to default CN=Users in which new user object will be created –surname=SURNAME User’s surname –given-name=GIVEN_NAME User’s given name –initials=INITIALS User’s initials –profile-path=PROFILE_PATH User’s profile path –script-path=SCRIPT_PATH User’s logon script path –home-drive=HOME_DRIVE User’s home drive letter –home-directory=HOME_DIRECTORY User’s home directory path –job-title=JOB_TITLE User’s job title –department=DEPARTMENT User’s department –company=COMPANY User’s company –description=DESCRIPTION User’s description –mail-address=MAIL_ADDRESS User’s email address –internet-address=INTERNET_ADDRESS User’s home page –telephone-number=TELEPHONE_NUMBER User’s phone number –physical-delivery-office=PHYSICAL_DELIVERY_OFFICE User’s office location –rfc2307-from-nss Copy Unix user attributes from NSS (will be overridden by explicit UID/GID/GECOS/shell) –uid=UID User’s Unix/RFC2307 username –uid-number=UID_NUMBER User’s Unix/RFC2307 numeric UID –gid-number=GID_NUMBER User’s Unix/RFC2307 primary GID number –gecos=GECOS User’s Unix/RFC2307 GECOS field –login-shell=LOGIN_SHELL User’s Unix/RFC2307 login shell Mot de passe
Change le mot de passe d’un utilisateur
smbpasswd user
samba-tool user setpassword user
Edition
Edite les propriétés de l’utilisateur
pdbedit -u user -v ...
(Dés)activation
Désactive un utilisateur
smbpasswd -d user
samba-tool user disable user
Réactive un utilisateur
smbpasswd -e user
samba-tool user enable user
Suppression
Supprime un utilisateur
smbpasswd -x user
samba-tool user delete user
Appartenance aux groupes
Liste les groupes
samba-tool group list
Liste les membres d’un groupe
samba-tool group listmembers "Domain Admins"
Ajout un membre à un groupe
samba-tool group addmembers "Domain Admins" "user"
Supprime un membre d’un groupe
samba-tool group removemembers "Domain Admins" "user"
samba-tool – authentification kerberos
Samba-tool gère certaines fonctionnalités localement, et d’autres en RPC, ce qui requiert une authentification. C’est assez contraignant, surtout lorsqu’on se logue en root, qui n’appartient pas au domaine.
Exemple:
root@dc01:~# samba-tool dns zonelist dc01 Password for [ORDINOSCOPE\root]:
Il suffit d’installer et initialiser krb5-user pour que l’authentification soit faite dorénavant en kerberos.
apt-get install krb5-user kinit administrator@ORDINOSCOPE.LOCALDOMAIN
Attention toutefois à adresser les requêtes à un serveur dont l’adresse IP est configurée dans la DNS (prérequis de kerberos). « localhost » n’est pas valide.
Cette solution n’est que temporaire. Le ticket kerberos est effacé à chaque redémarrage.
Exemple:
root@dc01:~# samba-tool dns zonelist dc01 2 zone(s) found
pszZoneName : ordinoscope.localdomain Flags : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE ZoneType : DNS_ZONE_TYPE_PRIMARY Version : 50 dwDpFlags : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED pszDpFqdn : DomainDnsZones.ordinoscope.localdomain
pszZoneName : _msdcs.ordinoscope.localdomain Flags : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE ZoneType : DNS_ZONE_TYPE_PRIMARY Version : 50 dwDpFlags : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED pszDpFqdn : ForestDnsZones.ordinoscope.localdomain