Samba 4 – Gestion des utilisateurs
Stratégie de mot de passe
Contrairement à un serveur Windows, sur lequel les policies des mots de passe s’effectue via les GPOs, Samba 4 doit être configuré manuellement avec samba-tool, en plus des GPOs.
Configuration
samba-tool domain passwordsettings show Password informations for domain 'DC=ordinoscope,DC=localdomain' Password complexity: on Store plaintext passwords: off Password history length: 24 Minimum password length: 7 Minimum password age (days): 1 Maximum password age (days): 42 Account lockout duration (mins): 30 Account lockout threshold (attempts): 0 Reset account lockout after (mins): 30
Historique des mots de passe (0 = pas d’historique, défaut: 24)
samba-tool domain passwordsettings set --history-length=0
Durée minimum avant de pouvoir changer son mot de passe (0 = pas de durée, défaut: 1 jour)
samba-tool domain passwordsettings set --min-pwd-age=0
Durée maximum d’un mot de passe, après laquelle l’utilisateur doit le changer (0 = illimité, défaut: 42 jours)
samba-tool domain passwordsettings set --max-pwd-age=0
Durée d’un bloquage (défaut: 30 minutes)
samba-tool domain passwordsettings set --account-lockout-duration=30
Nombre de mauvais mots de passe pour déclencher un bloquage (défaut: 0 – pas de bloquage)
samba-tool domain passwordsettings set --account-lockout-threshold=0
Durée avant le reset automatique du bloquage (défaut: 30 minutes)
samba-tool domain passwordsettings set --reset-account-lockout-after=0
L’aide sur la configuration des stratégies est accessible avec cette commande
samba-tool domain passwordsettings set --help
Utilisateurs
Sur le principe, Samba 4.x se comporte comme Samba 3.x. Contrairement à Samba 3.x (sauf si configuré en LDAP), l’utilisateur Samba n’a pas besoin d’exister en POSIX.
Samba 4.x amène un nouvel outil de gestion, samba-tool, bien plus adaptés aux besoin d’un AD que ceux de Samba 3.x.
Création
Crée un nouvel utilisateur dans CN=Users du domaine du serveur
smbpasswd -a user
Crée un nouvel utilisateur (samba-tool)
samba-tool user add user
samba-tool user create user
Samba-tool user add contient beaucoup plus d’options que smbpasswd
| –must-change-at-next-login | Force password to be changed on next login |
| –random-password | Generate random password |
| –use-username-as-cn | Force use of username as user’s CN |
| –userou=USEROU | Alternative location (without domainDN counterpart) to default CN=Users in which new user object will be created |
| –surname=SURNAME | User’s surname |
| –given-name=GIVEN_NAME | User’s given name |
| –initials=INITIALS | User’s initials |
| –profile-path=PROFILE_PATH | User’s profile path |
| –script-path=SCRIPT_PATH | User’s logon script path |
| –home-drive=HOME_DRIVE | User’s home drive letter |
| –home-directory=HOME_DIRECTORY | User’s home directory path |
| –job-title=JOB_TITLE | User’s job title |
| –department=DEPARTMENT | User’s department |
| –company=COMPANY | User’s company |
| –description=DESCRIPTION | User’s description |
| –mail-address=MAIL_ADDRESS | User’s email address |
| –internet-address=INTERNET_ADDRESS | User’s home page |
| –telephone-number=TELEPHONE_NUMBER | User’s phone number |
| –physical-delivery-office=PHYSICAL_DELIVERY_OFFICE | User’s office location |
| –rfc2307-from-nss | Copy Unix user attributes from NSS (will be overridden by explicit UID/GID/GECOS/shell) |
| –uid=UID | User’s Unix/RFC2307 username |
| –uid-number=UID_NUMBER | User’s Unix/RFC2307 numeric UID |
| –gid-number=GID_NUMBER | User’s Unix/RFC2307 primary GID number |
| –gecos=GECOS | User’s Unix/RFC2307 GECOS field |
| –login-shell=LOGIN_SHELL | User’s Unix/RFC2307 login shell |
Mot de passe
Change le mot de passe d’un utilisateur
smbpasswd user
samba-tool user setpassword user
Edition
Edite les propriétés de l’utilisateur
pdbedit -u user -v ...
(Dés)activation
Désactive un utilisateur
smbpasswd -d user
samba-tool user disable user
Réactive un utilisateur
smbpasswd -e user
samba-tool user enable user
Suppression
Supprime un utilisateur
smbpasswd -x user
samba-tool user delete user
Appartenance aux groupes
Liste les groupes
samba-tool group list
Liste les membres d’un groupe
samba-tool group listmembers "Domain Admins"
Ajout un membre à un groupe
samba-tool group addmembers "Domain Admins" "user"
Supprime un membre d’un groupe
samba-tool group removemembers "Domain Admins" "user"
samba-tool – authentification kerberos
Samba-tool gère certaines fonctionnalités localement, et d’autres en RPC, ce qui requiert une authentification. C’est assez contraignant, surtout lorsqu’on se logue en root, qui n’appartient pas au domaine.
Exemple:
root@dc01:~# samba-tool dns zonelist dc01 Password for [ORDINOSCOPE\root]:
Il suffit d’installer et initialiser krb5-user pour que l’authentification soit faite dorénavant en kerberos.
apt-get install krb5-user kinit administrator@ORDINOSCOPE.LOCALDOMAIN
- Attention toutefois à adresser les requêtes à un serveur dont l’adresse IP est configurée dans la DNS (prérequis de kerberos). « localhost » n’est pas valide.
- Cette solution n’est que temporaire. Le ticket kerberos est effacé à chaque redémarrage.
Exemple:
root@dc01:~# samba-tool dns zonelist dc01 2 zone(s) found pszZoneName : ordinoscope.localdomain Flags : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE ZoneType : DNS_ZONE_TYPE_PRIMARY Version : 50 dwDpFlags : DNS_DP_AUTOCREATED DNS_DP_DOMAIN_DEFAULT DNS_DP_ENLISTED pszDpFqdn : DomainDnsZones.ordinoscope.localdomain pszZoneName : _msdcs.ordinoscope.localdomain Flags : DNS_RPC_ZONE_DSINTEGRATED DNS_RPC_ZONE_UPDATE_SECURE ZoneType : DNS_ZONE_TYPE_PRIMARY Version : 50 dwDpFlags : DNS_DP_AUTOCREATED DNS_DP_FOREST_DEFAULT DNS_DP_ENLISTED pszDpFqdn : ForestDnsZones.ordinoscope.localdomain
Commentaires récents