LDAP lejáró jelszavak

Debian GNU/Linux

Sziasztok!
Van egy szerverem, rajta levelezés, ftp, samba. A szolgáltatások az azonosítást LDAPból végzik, ami szintén ezen a gépen van.
A problémám az, hogy felhasználók jelszavai bizonyos időközönként lejárnak.
Win klienseken a A felhasználónak az első belépéskor meg kell változtatnia a jelszavát! üzenet jelenik meg.
Hogy tudom kikapcsolni, hogy az ldapban tárolt jelszavak soha ne járjanak le?
Merre keresgéljek?
Ami biztos: smbldap-passwd-vel meg tudom változtatni a samba és a unix jelszavakat is.
passwd-vel pedig csak a unix jelszavakat, tehát a levelezés, ftp utána beenged, a samba továbbra sem. De a legfontosabb a samba lenne, hogy ott se járjanak le a jelszavak!

A másik probléma, hogy a felhasználók nem tudnak jelszót változtatni win alól.
smb.conf lényeges részei:
security = user
enable privileges = yes
encrypt passwords = true
passdb backend = ldapsam:ldap://127.0.0.1
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/sbin/smbldap-passwd -u %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
domain logons = yes
domain master = yes
local master = yes
preferred master = yes
os level = 255
admin users = csonkasanyi
logon drive = h:
logon path = \\%N\profiles\%U
logon home = \\%L\%U
logon script = %U.bat
map to guest = Bad User
allow trusted domains = yes
machine password timeout = 604800
ldap admin dn = cn=admin,dc=domain,dc=hu
ldap ssl = no
ldap suffix = dc=domain,dc=hu
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap delete dn = yes
ldap replication sleep = 5000
ldap passwd sync = yes
ldap timeout = 15
log level = 3
dos charset = CP1250
unix charset = ISO8859-2
time server = Yes
map acl inherit = Yes
case sensitive = No
hide unreadable = Yes
map hidden = No
map system = No
add user script = usr/sbin/smbldap-useradd -m %u
delete user script = /usr/sbin/smbldap-userdel %u
add group script = /usr/sbin/smbldap-groupadd -p %g
delete group script = /usr/sbin/smbldap-groupdel %g
add user to group script = /usr/sbin/smbldap-groupmod -m %u %g
delete user from group script = /usr/sbin/smbldap-groupmod -x %u %g
set primary group script = /usr/sbin/smbldap-usermod -g %g %u
add machine script = /usr/sbin/smbldap-useradd -w %u
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

  • 1366 megtekintés

( openstep | 2010. 12. 10., p – 09:14 )

Szia!

Ez már nekem is okozott gondot.
Így oldottuk meg:
ldapban ha megnézed a usereket lesznek ilyen bejegyzések, hogy:

- SambaAcctFlags: [UX] <--- ide ezt írd be
- ShadowMax: <-- ezt a bejegyzést törölni kell
- SambaPwdMustChange: 2147483647 <-- erre is szükség volt, ez volt a legnagyobb adható dátum, aszem, vmi 30 év, ha jól emlékszem

Sok sikert

Köszi!
sambaAcctFlags: [UX] --> beletettem
ShadowMax: --> kivettem
SambaPwdMustChange: 2147483647 --> átírtam, 2038/01/18

A probléma az, hogy ha kezdeményezek egy jelszóváltoztatást az smbldap-passwd-vel, akkor az X-et kiveszi, shadowmax-ot visszateszi, sambaPwdMustChange értékét csökkenti.
De ha így tényleg működne, akkor tökéletes lenne, max észben tartanám, hogy egy esetleges jelszó változtatást követően ezeket kézzel el kell végeznem.

Azt le lehet valami paranccsal kérdezni, hogy melyik felhasználónak mikor jár le a jelszava? És itt most nem arra gondolok, hogy visszafejtem a sambaPwdMustChange értékét!
Amiatt kérdezem, mert jó lenne valahogy ezt ellenőrizni, hogy tényleg nem jár-e le a jelszó. És nem akarom kivárni a 45 napot, hogy a 46. napon kiderüljön!

Sanyi

Itt is domainbe lépnek a gépeink.
Sajnos a win alól ctrl+alt+del nálunk nem működik, de sztem az én usereim nem is nagyon tudják ezt a lehetőséget... Legalábbis nem kérték még.
Ha jól sejtem, ez samba beállítás lenne, de attól félek, hogy mivel az smb.conf-ban a passwd program az smbldap-passwd, ezért ott ugyanúgy beleírná a shadowMax-ot, mintha parancssorból változtatok jelszót...

Mindegy, lényeg, hogy mostmár remélhetőleg nem járnak le a jelszavak!

Köszi a segítséget:
Sanyi