Samba user account management tool (pdbedit)

14.11.2011 - 15:45

Если Вы используете SAMBA в качестве контроллера домена Window, то управлять групповыми политиками необходимо с помощью утилиты - pdbedit.

В данной заметке хочу описать и привести примеры ее использования:
Просмотр перечня всех существующих груповых политик домена:

[root@router ~]# pdbedit -P ?
No account policy by that name!
Account policy names are:
min password length
password history
user must logon to change password
maximum password age
minimum password age
lockout duration
reset count minutes
bad lockout attempt
disconnect time
refuse machine password change


Samba политики домена NT4

NT4 policy Name

Samba Policy Name

NT4 Range

Samba Range

Samba Default

Maximum Password Age

maximum password age

0 - 999 (days)

0 - 4294967295 (sec)

4294967295

Minimum Password Age

minimum password age

0 - 999 (days)

0 - 4294967295 (sec)

0

Minimum Password Length

min password length

1 - 14 (Chars)

0 - 4294967295 (Chars)

5

Password Uniqueness

password history

0 - 23 (#)

0 - 4294967295 (#)

0

Account Lockout - Reset count after

reset count minutes

1 - 99998 (min)

0 - 4294967295 (min)

30

Lockout after bad logon attempts

bad lockout attempt

0 - 998 (#)

0 - 4294967295 (#)

0

*** Not Known ***

disconnect time

TBA

0 - 4294967295

0

Lockout Duration

lockout duration

1 - 99998 (min)

0 - 4294967295 (min)

30

Users must log on in order to change password

user must logon to change password

0/1

0 - 4294967295

0

*** Registry Setting ***

refuse machine password change

0/1

0 - 4294967295

0


Просмотреть значение параметра политики, можно так:

[root@router ~]# pdbedit -P "НАЗВАНИЕ ПОЛИТИКИ"

min password length - минимальная длинна пароля, который можно задать. В данном случае пароль должен быть не меньше 8-ми символов.

[root@router ~]# pdbedit -P "min password length"
account policy "min password length" description: Minimal password length (default: 5)
account policy "min password length" value is: 8

password history - история пароля. Сохранять историю прежде вводимых паролей. Если указать, например значение "5", то старый пароль можно будет повтороно ввести только после 6-ти уникальных паролей.

[root@router ~]# pdbedit -P "password history"
account policy "password history" description: Length of Password History Entries (default: 0 => off)
account policy "password history" value is: 0

Пример, установим сохранение 3-х прежде введенных паролей:

[root@router ~]# pdbedit -P "password history" -C 3
account policy "password history" description: Length of Password History Entries (default: 0 => off)
account policy "password history" value was: 0
account policy "password history" value is now: 3

user must logon to change password - требовать смену пароля при следующем входе в систему.

[root@router ~]# pdbedit -P "user must logon to change password"
account policy "user must logon to change password" description: Force Users to logon for password change (default: 0 => off, 2 => on)
account policy "user must logon to change password" value is: 0

maximum password age - Запрос смены пароля пользователям. Тут указываем количество времени в секудах, на протяжении которого пароль можно не менять. С этого момента времени пароль будет меняться в соответствии с политикой.

[root@router ~]# pdbedit -P "maximum password age"
account policy "maximum password age" description: Maximum password age, in seconds (default: -1 => never expire passwords)
account policy "maximum password age" value is: 4294967295

Пример, установим максимальный срок действия пароля 90дней:

[root@router ~]# pdbedit -P "maximum password age" -C 777600

minimum password age - Минимальный срок действия пароля в секундах (по умолчанию: 0 => позволяют немедленного изменения пароля).

[root@router ~]# pdbedit -P "minimum password age"
account policy "minimum password age" description: Minimal password age, in seconds (default: 0 => allow immediate password change)
account policy "minimum password age" value is: 0

Пример, установим минимальный срок действия пароля 80дней:

[root@router ~]# pdbedit -P "minimum password age" -C 691200

lockout duration - время блокировки при неудачном входе. Устанавливаем в минутах, или ставим значение -1 - "на всегда" (учетная запись должна быть повторно включаться вручную).

[root@router ~]# pdbedit -P "lockout duration"
account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever)
account policy "lockout duration" value is: 1

reset count minutes - сброс счетчика минут, блокировки учетной записи.

[root@router ~]# pdbedit -P "reset count minutes"
account policy "reset count minutes" description: Reset time after lockout in minutes (default: 30)
account policy "reset count minutes" value is: 30

bad lockout attempt - блокировка при неудачной попытке входа в домен.

[root@router ~]# pdbedit -P "bad lockout attempt"

account policy "bad lockout attempt" description: Lockout users after bad logon attempts (default: 0 => off)
account policy "bad lockout attempt" value is: 3

Пример, в данном случае после 3-х неудачных попыток ввода пароля пользователем, он блокируется.

[root@router ~]# pdbedit -P "bad lockout attempt" -C 3
account policy "bad lockout attempt" description: Lockout users after bad logon attempts (default: 0 => off)
account policy "bad lockout attempt" value was: 3
account policy "bad lockout attempt" value is now: 3

disconnect time - время до разъединения. Возможные значения: 0 - отключать пользователя, -1 - не отключать.

[root@router ~]# pdbedit -P "disconnect time"
account policy "disconnect time" description: Disconnect Users outside logon hours (default: -1 => off, 0 => on)
account policy "disconnect time" value is: 4294967295

refuse machine password change - отказываются менять пароль машины.

[root@router ~]# pdbedit -P "refuse machine password change"
account policy "refuse machine password change" description: Allow Machine Password changes (default: 0 => off)
account policy "refuse machine password change" value is: 0

Голосов пока нет