私は最近、WindowsマシンとLinuxマシンの両方を使用する小さな(< 25人の)ネットワークの管理を監督することを任されました。ドメインコントローラは、Samba 4.1.0をADDCとして実行しているRHEL 6.4マシンです。ここまでは順調ですね。Samba 4のアカウントロックアウトポリシー
私の仕事の1つは、パスワードが5回間違って入力された場合にユーザーアカウントをロックするポリシーを作成することでした。経営陣は、この機能は以前から使用されてきたと主張していますが、数か月はありませんでした。いくつかの調査をした後、私はpdbeditが私が望むことをすることができるはずであることを知ります。実行中のpdbedit -P "bad logon attempts" -C 5が正しく動作しているように見えて、値が5に変更されたことを通知します。ただし、ドメインコントローラを再起動してテストドメインアカウントをロックアウトしようとしても、私はログインする。
pdbeditと同じことが多いと思われるsamba-toolにグーグルとチャンスがある。 samba-tool domain passwordsettings showには、minimum password lengthとmaximum password ageのように私が操作できるいくつかのパスワード設定が表示されますが、ロックアウトポリシーについては何も表示されません。 maximum password age属性を60日から90日に変更して、変更内容が明らかになっているかどうかを確認します。 Linuxのボックスにログインすると、変更前の30日以上でパスワードの変更が促されます。したがって、ドメインはパスワード設定をsamba-toolから守りますが、pdbeditではないようです。
私はこれらのユーティリティの両方が同じデータベースを「指している」ことを知っています。 samba-tool user listとpdbedit -Lの両方を実行すると、同じユーザーが表示され、1つのユーティリティを持つユーザーを追加すると、別のユーティリティに表示されます。
私はこのロックアウトポリシーを働かせようと2日間壁に向かって頭を叩いています。私は開発者ですので、一般的にはサンバやシステム管理にあまり慣れていません。誰かが私を正しい方向に向けることができますか?
私のsmb.confは、ケースでは、私はあなただけサンバの新しいバージョンを必要と推測している...
[global]
workgroup = LAB
realm = LAB.MY.COMPANY.NAME
# security = ads
netbios name = HOSTNAME
server role = active directory domain controller
idmap_ldp:use rfc2307 = yes
kerberos method = system keytab
name resolve order = host wins bcast
template shell = /bin/bash
dns forwarder = MY.DNS.IP.ADDRESS
log file = log.%m
log level = 1
winbind use default domain = yes
acl:search = no
client use spnego = no
passdb backend = tdbsam
idmap config * : range = 1000000-1999999
idmap config LAB : range = 100000000-199999999
idmap config LAB : default = yes
idmap config LAB : backend = rid
create mask = 0660
directory mask = 0770
force create mode = 0660
[all]
[my]
[shares]
はい、4.2にアップグレードして問題を解決しました。 – Alexander