[Samba-it] Samba PDC non aggiorna campo sambaPwdMustChange
Silvio Fabi - NBS srl
s.fabi at nbsgroup.it
Mon Nov 16 02:17:40 MST 2009
Salve a tutti, ho un PDC Samba con l'ultima versione 3.4.3 con
repository LDAP su una RHEL 5.2.
Tutto funziona correttamente, nel senso che aggiungo senza problemi le
macchine in dominio, gli utenti riescono a loggarsi sulle macchine e
prendere le policy di sicurezza che ho impostato, accedere alle cartelle
condivise sul server e scaricare la posta da qmail. Ho un problema però
con il cambio password da windows attraverso la procedura CTRL-ALT-CANC,
infatti l'utente riesce a cambiare la propria password in maniera
corretta, in seguito a questa azione si aggiornano tutti i campi
necessari sul LDAP meno che uno, il campo "sambaPwdMustChange". Il
comportamento che io mi aspetto è questo: l'utente ha una password che
dura 90 giorni, la password può essere modificata in qualsiasi momento,
non può essere più corta di 8 caratteri ed ha una ciclicità di tre cambi
prima di poter riusare la prima, quando esegue CTRL-ALT-CANC da windows
cambia la propria password tenendo conto delle policy impostate ed
ricalcola e aggiorna la data di scadenza della password nel campo
sambaPwdMustChange; ebbene quest'ultima operazione non viene eseguita ed
il valore del campo rimane lo stesso che c'era prima del cambio password.
Da quel che mi risulta i campi che dovrebbero essere aggiornati sono i
seguenti:
sambaPasswordHistory:
sambaLMPassword:
sambaNTPassword:
sambaPwdLastSet:
sambaPwdMustChange:
userPassword:
Ma purtroppo "sambaPwdMustChange:" non subisce variazioni, mentre tutti
gli altri si.
Questa è la configurazione del mio server LDAP:
-------------------------------------------------
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
include /etc/openldap/schema/local.schema
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
allow bind_v2
access to
attrs=userPassword,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,shadowLastChange,sambaPasswordHistory
by self write
by anonymous auth
by * none
access to *
by * read
database ldbm
suffix "dc=XX,dc=XX"
rootdn "cn=Manager,dc=XX,dc=XX"
rootpw XXXXXXXXXXXXXXXXX
directory /var/lib/ldap
# Indices to maintain
index objectClass eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index uidNumber eq
index gidNumber eq
index memberUID eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub
-------------------------------------------------
Per la cronaca ho provato ad usare come access-list anche la seguente
entry: access to * by * write , per escludere complicazioni dovute a
permessi di accesso.
Questa è la configurazione del mio PDC Samba:
----------------------------------------------------
[global]
workgroup = XXXXXX
netbios name = XXXXXXXX
server string = Samba Server PDC
passdb backend = ldapsam:"ldap://<IP-SERVER-LDAP"
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *Nuova*Password* %n\n *Riscrivi*Nuova*Password* %n\n
*all*authentication*tokens*
smb ports = 139
encrypt passwords = Yes
update encrypted =Yes
max log size = 0
add user script = /usr/sbin/smbldap-useradd -m "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
domain logons = Yes
os level = 255
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
security = user
ldap ssl = no
ldap admin dn = cn=Manager,dc=XX,dc=XX
ldap delete dn = Yes
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap passwd sync = Yes
ldap suffix = dc=XX,dc=XX
ldap user suffix = ou=Users
logon home =
logon path =
[netlogon]
path = /etc/samba/netlogon
create mask = 0700
security mask = 0700
directory mask = 0700
directory security mask = 0700
guest ok = yes
browseable = no
-----------------------------------------------------
Da quello che ho potuto vedere sembra che il cambio password di windows,
utilizzi "smbpasswd" invece di usare "smbldap-passwd". E' possibile una
cosa del genere? Come si risolve questo problema?
In attesa di un vostro riscontro porgo cordiali saluti.
Silvio Fabi
--
Silvio Fabi - NBS srl
Area Sistemi
tel. 0735/7626242
mail: s.fabi at nbsgroup.it
More information about the samba-it
mailing list