Saya mengonfigurasi sistem di mana semua sumber daya TI tersedia melalui satu pasangan pengguna-kata sandi, baik itu akses ke shell di server, masuk ke domain Samba, WiFi, OpenVPN, Mantis, dll. (Dengan akses ke layanan spesifik yang diatur berdasarkan keanggotaan grup atau bidang objek pengguna). Karena kami memiliki data pribadi di jaringan kami, kami perlu menerapkan penuaan kata sandi, sesuai dengan Petunjuk Perlindungan Data Uni Eropa (atau lebih tepatnya versi Polandia).
Masalahnya adalah bahwa akun Samba dan POSIX di LDAP menggunakan informasi hashing dan penuaan kata sandi yang berbeda. Meskipun menyinkronkan kata sandi itu sendiri adalah hal yang mudah ( ldap password sync = Yes
dalam smb.conf
), menambahkan penuaan kata sandi ke dalam campuran memecah hal-hal: Samba tidak memperbarui shadowLastChange. Bersama-sama dengan obey pam restrictions = Yes
menciptakan sistem di mana pengguna windows tidak dapat mengubah kata sandi lama, tetapi jika saya tidak menggunakannya, direktori home tidak akan secara otomatis dibuat. Alternatifnya adalah menggunakan penggunaan operasi diperluas LDAP untuk mengubah kata sandi, tetapi smbk5pwd
modul juga tidak mengaturnya. Yang lebih parah, pengelola OpenLDAP tidak akan memperbaruinya / menerima tambalan karena bidang ini dianggap sudah usang.
Jadi, pertanyaan saya adalah, apa solusi terbaik? Apa kelebihan dan kekurangannya?
Gunakan
ppolicy
penuaan kata sandi LDAP dan LDAP internal?- Seberapa baik kerjanya dengan NSS, modul PAM, samba, sistem lain?
- Apakah modul NSS dan PAM perlu dikonfigurasi dengan cara khusus untuk menggunakan ppolicy, bukan shadow?
- Apakah GOsa² berfungsi dengan ppolicy?
- Apakah ada alat administratif lain yang dapat bekerja dengan
ppolicy
LDAP yang diaktifkan?
Retas bersama skrip kata sandi perubahan yang memperbarui bidang dalam LDAP. (meninggalkan kemungkinan bahwa pengguna sendiri akan memperbarui bidang tanpa mengubah kata sandi)
Jawaban:
Saya menulis overlay OpenLDAP saya sendiri yang dipanggil
shadowlastchange
untuk memperbaruishadowLastChange
atribut setiap kali terjadi perubahan kata sandi EXOP. Ini diaktifkan dislapd.conf
:Saya telah mengkonfigurasi
smb.conf
untuk mengubah kata sandi melalui EXOP:Kemudian, untuk setiap akun, setel
shadowMax
ke jumlah hari kata sandi valid. Modul OpenLDAP menangani sisanya!sumber
ppolicy
atausmbk5pwd
overlay di Debian memeras OpenLDAP melakukan pembaruanshadowLastChange
. Yay untuk Debian!Sebagai gap-gap saya membuat skrip untuk Samba yang akan memperbarui
shadowLastChange
perubahan kata sandi pada:Di Samba config perlu
unix password sync
diatur keyes
,passwd chat
atur ke*OK*
danpasswd program
ke skrip di atas dengan"%u"
sebagai param.Akun yang ditentukan dalam
LDAP_USER
perlu dibuat dalam LDAP dan diberikan izin untuk membacauid
semua pengguna Samba dan hak untuk menulisshadowLastChange
.sumber
(sedang dalam proses, saya akan menambahkan detail nanti)
Berita baik semuanya! Saya mendapatkan semuanya berfungsi, kurang lebih ..., dalam lingkungan pengujian ...:
ppolicy
,not24get
danpasswdqc
)smbk5pwd
). Catatan: Pemeriksaan kualitas dengan Samba dan ppolicy tidak jelas:password check script
(pwqcheck -1
daripasswdqc
) perlu melakukan pemeriksaan yang sama dengan yang dilakukan LDAP atau pengguna akan mendapatkan Izin Ditolak alih-alih "Terlalu mudah kata sandi, coba yang lain".pam_mkhomedir
uid
entri grup, sehingga aplikasi mengharapkan NIS (sebagian besar barang "UNIXy") atau skema RFC2307bis (sebagian besar aplikasi "dirancang untuk AD") bekerja dengan baik.Satu-satunya masalah adalah bahwa menonaktifkan akun memerlukan penggunaan alat CLI (atau menulis skrip postmodify GOsa) atau akun tidak akan dikunci pada tingkat LDAP, hanya untuk PAM dan Samba. Kedaluwarsa kata sandi masih akan diberlakukan, jadi itu bukan masalah besar.
sumber
Saya mendapat jawaban dari salah satu pengembang GOsa. Saat ini GOsa tidak mendukung overlay ppolicy dengan cara apa pun.
sumber