Fórumok
Üdv!
Adott egy Samba4 (fedora30 szerver), szépen megy (teszt jelleggel!).
Egy dolog jött elő, hogy a jelszót meg kellett változtatni, de nem engedte:
"A jelszó nem frissíthető. Az új jelszó nem felel meg a tartomány hosszúsági, összetettségi vagy előzménykövetelményeknek."
Az AD-ban be tudtam állítani, de ha meg akarom változtatni a W10 kliensen bármelyik user jelszavát, akkor nem engedi (a fenti hibával). Pl. User1234 <-- nem elég összetett? kis-nagy betű, szám.
A GPO-ban nem látok ilyen szabályt beállítva, mindenhol "nem beállított" érték van. (RSAT-al látszik)
A "gpupdate /force" megvolt, restart W10 kliens megvolt...
Honnan veszi a szabályt?
Hozzászólások
A Fedorán /etc/login.defs-be milyen szabályok vannak?
vagy ha ezt kiadod:?
sudo samba-tool domain passwordsettings set --complexity=off
Ne már :)
Nálunk is Samba4 AD van, találkoztam ezzel a problémával, de a 8 karakter kis/nagy betű számot alapértelmezetten elfogadja.
Az új usereknek ezzel állítok be új pswd-t, pontosan 8 karakterre.
Szerintem az User1234 szótárazható mintát tartalmaz, azért rinyál, de ez csak tipp, majd valaki okosabb kijavít.
Semmiképpen nem csökkenteném a jelszó komplexitását.
Az sem jön be neki, ha a felhasználónévre hasonlít. Ki kell próbálni egy kellően véletlenszerű jelszóval. Ha nem tudja észben tartani akkor toll és papír. Egy próbát megér.
A User1234 nem is egy nagyon összetett, a másik, hogy RSAT-tal nem tudod állítani a jelszó követelményeket a csoportházirendben?
Nincs beállítva semmi, ahogy írtam "nincs beállítva" opció van mindenhol. Hacsak nincs egy "rejtett" beállítás valahol... :)
Igazából ez zavar, hogy nincs beállítva összetett jelszó opció a GPO-ban.
Az érdekes, hogy induláskor nem volt elég összetett neki a "User1234" jelszó...?
Szótárból/szótár jellegű szabálybázisból veszi - ha nem tudod, hogyan lehet kikapcsolni, akkor ne akard kikapcsolni. (Ha tudod, hogya kell, akkor meg nem fogod akarni kikapcsolni...)
A túl bonyolult jelszó egyedül a bruteforce technika ellen véd(het), ellenben user-oldalon pedig csak egy újabb biztonsági rést nyit, azzal hogy elkezdik lazán kezelni, felírogatják mindenhová, úgyhogy nem feltétlen baj, ha ki akarja kapcsolni.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Edukálni kell a felhasználókat. Péládul egy vers szavainak első betűje megspékelve néhány megjegyezhető számjeggyel teljesen jó jelszó lehet:
Eumk,Ka0,Ffk,Maht.
Persze, felnőtt embereket edukálni, akik szarják le, és nem is értik az egészet. Kb. kétesélyes.
--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Valamelyik samba verziotol alapba be van kapcsolva.
Igy tudod ellenorizni, hogy milyen jelszo szabalyok vannak beallitva:
$ sudo docker exec samba samba-tool domain passwordsettings show
Password informations for domain 'DC=vamm,DC=org'
Password complexity: off
Store plaintext passwords: on
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30
Es igy tudod kikapcsolni a jelszoszabalyt:
$ sudo docker exec samba samba-tool domain passwordsettings set --complexity=off
Password complexity deactivated!
All changes applied successfully!
Es ezt nemtom minek allitottam be anno:
$ sudo docker exec samba samba-tool domain passwordsettings set --store-plaintext=on
---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
Az RSAT-ot feltettem (W10), de miért nem mutatja a Csoportházirendben? Vagy nem érdemes használni az RSAT-ot?
Ki lehet valahogy listázni az összes (alapból) beállított szabályt? Nem látok ilyet, bár lehet hogy én vagyok vak... :)
Honnan veszi a szabályt?
A kliens policyját használja. Ha nincs domain GPO, akkor a lokális gépét (lásd gpedit.msc).
Onnan nem, mert a domain előtt simán tudtam 123456 jelszót adni.