Samba4 DC jelszó szabály

 ( makgab | 2019. június 21., péntek - 14:03 )

Üdv!
Adott egy Samba4 (fedora30 szerver), szépen megy (teszt jelleggel!).
Egy dolog jött elő, hogy a jelszót meg kellett változtatni, de nem engedte:
"A jelszó nem frissíthető. Az új jelszó nem felel meg a tartomány hosszúsági, összetettségi vagy előzménykövetelményeknek."
Az AD-ban be tudtam állítani, de ha meg akarom változtatni a W10 kliensen bármelyik user jelszavát, akkor nem engedi (a fenti hibával). Pl. User1234 <-- nem elég összetett? kis-nagy betű, szám.

A GPO-ban nem látok ilyen szabályt beállítva, mindenhol "nem beállított" érték van. (RSAT-al látszik)

A "gpupdate /force" megvolt, restart W10 kliens megvolt...

Honnan veszi a szabályt?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A Fedorán /etc/login.defs-be milyen szabályok vannak?
vagy ha ezt kiadod:?
sudo samba-tool domain passwordsettings set --complexity=off

Ne már :)

Nálunk is Samba4 AD van, találkoztam ezzel a problémával, de a 8 karakter kis/nagy betű számot alapértelmezetten elfogadja.
Az új usereknek ezzel állítok be új pswd-t, pontosan 8 karakterre.

Szerintem az User1234 szótárazható mintát tartalmaz, azért rinyál, de ez csak tipp, majd valaki okosabb kijavít.
Semmiképpen nem csökkenteném a jelszó komplexitását.

Az sem jön be neki, ha a felhasználónévre hasonlít. Ki kell próbálni egy kellően véletlenszerű jelszóval. Ha nem tudja észben tartani akkor toll és papír. Egy próbát megér.

A User1234 nem is egy nagyon összetett, a másik, hogy RSAT-tal nem tudod állítani a jelszó követelményeket a csoportházirendben?

Nincs beállítva semmi, ahogy írtam "nincs beállítva" opció van mindenhol. Hacsak nincs egy "rejtett" beállítás valahol... :)
Igazából ez zavar, hogy nincs beállítva összetett jelszó opció a GPO-ban.

Az érdekes, hogy induláskor nem volt elég összetett neki a "User1234" jelszó...?

Szótárból/szótár jellegű szabálybázisból veszi - ha nem tudod, hogyan lehet kikapcsolni, akkor ne akard kikapcsolni. (Ha tudod, hogya kell, akkor meg nem fogod akarni kikapcsolni...)

A túl bonyolult jelszó egyedül a bruteforce technika ellen véd(het), ellenben user-oldalon pedig csak egy újabb biztonsági rést nyit, azzal hogy elkezdik lazán kezelni, felírogatják mindenhová, úgyhogy nem feltétlen baj, ha ki akarja kapcsolni.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Edukálni kell a felhasználókat. Péládul egy vers szavainak első betűje megspékelve néhány megjegyezhető számjeggyel teljesen jó jelszó lehet:
Eumk,Ka0,Ffk,Maht.

Persze, felnőtt embereket edukálni, akik szarják le, és nem is értik az egészet. Kb. kétesélyes.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Valamelyik samba verziotol alapba be van kapcsolva.
Igy tudod ellenorizni, hogy milyen jelszo szabalyok vannak beallitva:


$ sudo docker exec samba samba-tool domain passwordsettings show
Password informations for domain 'DC=vamm,DC=org'

Password complexity: off
Store plaintext passwords: on
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

Es igy tudod kikapcsolni a jelszoszabalyt:

$ sudo docker exec samba samba-tool domain passwordsettings set --complexity=off
Password complexity deactivated!
All changes applied successfully!

Es ezt nemtom minek allitottam be anno:

$ sudo docker exec samba samba-tool domain passwordsettings set --store-plaintext=on

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Az RSAT-ot feltettem (W10), de miért nem mutatja a Csoportházirendben? Vagy nem érdemes használni az RSAT-ot?

Ki lehet valahogy listázni az összes (alapból) beállított szabályt? Nem látok ilyet, bár lehet hogy én vagyok vak... :)

Honnan veszi a szabályt?

A kliens policyját használja. Ha nincs domain GPO, akkor a lokális gépét (lásd gpedit.msc).

Onnan nem, mert a domain előtt simán tudtam 123456 jelszót adni.