Недавно мне поручили наблюдать за администрированием небольшой (‹25 пользователей) сети, в которой используются машины как с Windows, так и с Linux. Контроллер домена — это машина RHEL 6.4, на которой в качестве ADDC запущена Samba 4.1.0. Все идет нормально.
Одной из моих задач было создание политики, которая блокирует учетные записи пользователей, если они вводят свой пароль неправильно 5 раз. Руководство настаивает на том, что раньше эта функция работала, но не работает уже несколько месяцев. Проведя небольшое исследование, я вижу, что pdbedit должен делать то, что я хочу. Запуск pdbedit -P "bad logon attempts" -C 5, кажется, работает правильно и сообщает мне, что значение изменилось на 5. Однако я перезагружаю контроллер домена и пытаюсь заблокировать свою тестовую учетную запись домена, и он по-прежнему позволяет мне вводить столько ошибочных паролей, сколько я хочу, и по-прежнему позволяю мне войти.
Еще немного гугления, и я случайно наткнулся на samba-tool, который, похоже, делает то же самое, что и pdbedit. Запуск samba-tool domain passwordsettings show показывает несколько параметров пароля, которыми я могу управлять, например minimum password length и maximum password age, но ничего о политике блокировки. Я меняю атрибут maximum password age с 60 на 90 дней, просто чтобы посмотреть, проявятся ли изменения, и они проявятся. При входе в Linux-бокс мне предлагается сменить пароль на 30 дней больше, чем до внесения изменений. Таким образом, кажется, что домен соблюдает настройки пароля от samba-tool, но не от pdbedit.
Теперь я знаю, что обе эти утилиты "указывают" на одну и ту же базу данных. Запуск samba-tool user list и pdbedit -L показывает одних и тех же пользователей, а добавление пользователя с помощью одной утилиты приводит к тому, что он отображается в другой.
Я 2 дня бился головой о стену, пытаясь заставить работать эту политику блокировки. Я разработчик, поэтому не очень хорошо разбираюсь в самбе и системном администрировании в целом. Может кто-то указать мне верное направление?
Мой smb.conf, если поможет...
[global]
workgroup = LAB
realm = LAB.MY.COMPANY.NAME
# security = ads
netbios name = HOSTNAME
server role = active directory domain controller
idmap_ldp:use rfc2307 = yes
kerberos method = system keytab
name resolve order = host wins bcast
template shell = /bin/bash
dns forwarder = MY.DNS.IP.ADDRESS
log file = log.%m
log level = 1
winbind use default domain = yes
acl:search = no
client use spnego = no
passdb backend = tdbsam
idmap config * : range = 1000000-1999999
idmap config LAB : range = 100000000-199999999
idmap config LAB : default = yes
idmap config LAB : backend = rid
create mask = 0660
directory mask = 0770
force create mode = 0660
[all]
[my]
[shares]
