저는 최근에 Windows 및 Linux 컴퓨터를 모두 사용하는 소형 (< 25 명) 네트워크의 관리를 감독하는 임무를 수행했습니다. 도메인 컨트롤러는 Samba 4.1.0을 ADDC로 실행하는 RHEL 6.4 시스템입니다. 여태까지는 그런대로 잘됐다.Samba 4 계정 잠금 정책
암호를 5 회 잘못 입력하면 사용자 계정을 잠그는 정책이 내 작업 중 하나입니다. 경영진은이 기능이 작동하는 데 사용되지만 몇 개월 동안은 사용하지 않았다고 주장합니다. 몇 가지 연구를 한 후, 나는 pdbedit이 내가 원하는 것을 할 수 있어야한다고 본다. pdbedit -P "bad logon attempts" -C 5을 실행하면 올바르게 실행되고 값이 5로 변경되었음을 알리는 것으로 보입니다. 그러나 도메인 컨트롤러를 재부팅하고 테스트 도메인 계정을 잠그려고 시도하지만 여전히 원하는만큼 많은 잘못된 암호를 입력 할 수 있습니다. 내 로그인.
pdbedit과 같은 많은 일을하는 것 같아서 samba-tool에 더 많은 인터넷 검색 결과가 나옵니다. samba-tool domain passwordsettings show을 실행하면 조작 할 수있는 몇 가지 비밀번호 설정 (예 : minimum password length 및 maximum password age)이 표시되지만 잠금 정책은 없습니다. maximum password age 속성을 60 일에서 90 일로 변경하여 변경 사항이 자체적으로 나타나는지 확인합니다. 리눅스 박스에 로그인하면 변경하기 전보다 30 일 후에 암호가 변경됩니다. 따라서 도메인이 samba-tool에서 비밀번호 설정을 준수하지만, pdbedit이 아닌 것으로 보입니다.
이제는 두 유틸리티가 모두 동일한 데이터베이스를 가리키고 있다는 것을 알고 있습니다. samba-tool user list과 pdbedit -L을 실행하면 동일한 사용자가 표시되고 하나의 유틸리티를 사용하여 사용자를 추가하면 다른 사용자에게 표시됩니다.
저는이 잠금 정책을 작동 시키려고 2 일 동안 벽에 머리를 두드 리고 있습니다. 나는 개발자이므로 일반적으로 삼바 및 시스템 관리에 정통하지 않습니다. 누구든지 올바른 방향으로 나를 가리킬 수 있습니까? 내가 당신을 추측하고있어이 도움이 경우
내 smb.conf의 ...
[global]
workgroup = LAB
realm = LAB.MY.COMPANY.NAME
# security = ads
netbios name = HOSTNAME
server role = active directory domain controller
idmap_ldp:use rfc2307 = yes
kerberos method = system keytab
name resolve order = host wins bcast
template shell = /bin/bash
dns forwarder = MY.DNS.IP.ADDRESS
log file = log.%m
log level = 1
winbind use default domain = yes
acl:search = no
client use spnego = no
passdb backend = tdbsam
idmap config * : range = 1000000-1999999
idmap config LAB : range = 100000000-199999999
idmap config LAB : default = yes
idmap config LAB : backend = rid
create mask = 0660
directory mask = 0770
force create mode = 0660
[all]
[my]
[shares]
예, 4.2로 업그레이드하면 문제가 해결됩니다. – Alexander