Project

General

Profile

Scénario #30835

Updated by Gilles Grandgérard about 2 years ago

h3. Objectifs:

* Créer un paquet dédié *eole-ad-dc-pso* *eole-ad-pso* (à partir de 2.7.2, dépôt dédié : https://dev-eole.ac-dijon.fr/projects/eole-ad-dc/repository/eole-ad-dc-pso)
* Créer un dico permettant de saisir des "pso" avec leurs attributs, et les groupes auquel elle s'appliquent
* le dico doit être compatible Seth, ScribeAD

h3. Technique:

La commande 'samba-tool user setexpiry Administrator --noexpiry' désactive l'expiration de mot de passe pour le compte Administrator..

Un outil existe pour contrôler ce fonctionnement 'samba-tool domain passwordsettings set --help'

(Attention : Sur Scribe 2.7, il faut se placer dans le contrôleur de domaine ADDC. Pour cela, exécuter 'ssh addc' avant les commandes suivantes.)

La technique à utiliser est la suivante pour créer une règle de 6 mois pour tous les professeurs:

* *samba-tool domain passwordsettings pso create "Regle_Mot_De_Passe_Professeurs" 2 --min-pwd-length=8 --min-pwd-age=120 --max-pwd-age=180 --history-length=0 --complexity=on*
>> Not all password policy options have been specified.
>> For unspecified options, the current domain password settings will be used as the default values.
>> PSO successfully created: CN=Regle_Mot_De_Passe_Professeurs,CN=Password Settings Container,CN=System,DC=domscribe,DC=ac-test,DC=fr
>> Password information for PSO 'Regle_Mot_De_Passe_Professeurs'
>> Precedence (lowest is best): 2
>> Password complexity: on
>> Store plaintext passwords: off
>> Password history length: 0
>> Minimum password length: 8
>> Minimum password age (days): 120
>> Maximum password age (days): 180
>> Account lockout duration (mins): 30
>> Account lockout threshold (attempts): 0
>> Reset account lockout after (mins): 30

* *samba-tool domain passwordsettings pso apply "Regle_Mot_De_Passe_Professeurs" professeurs*
>> PSO 'Regle_Mot_De_Passe_Professeurs' applied to 'professeurs'

Vérification (ex: prof.6a)
* *samba-tool domain passwordsettings pso show-user "prof.6a"*
>> The following PSO settings apply to user 'prof.6a'.
>> Password information for PSO 'Regle_Mot_De_Passe_Professeurs'
>> Precedence (lowest is best): 2
>> Password complexity: on
>> Store plaintext passwords: off
>> Password history length: 0
>> Minimum password length: 8
>> Minimum password age (days): 120
>> Maximum password age (days): 180
>> Account lockout duration (mins): 30
>> Account lockout threshold (attempts): 0
>> Reset account lockout after (mins): 30
>> *PSO applies to user via group membership*.

Nettoyage
* samba-tool domain passwordsettings pso delete "Regle_Mot_De_Passe_Professeurs"
>> Deleted PSO Regle_Mot_De_Passe_Professeurs
* samba-tool domain passwordsettings pso show-user prof.6a
>> No PSO applies to user 'prof.6a'. The default domain settings apply.
>> Refer to 'samba-tool domain passwordsettings show'.

Le 09/10/2020 à 12:42, Derory Cyrille a écrit :
> Bonjour,
>
> Peut-être une possibilité avec la commande samba-tool et un script sur tous les utilisateurs concernés.
>
> https://www.blackhole-networks.com/Cheatsheets/Samba4Pass/
>
> Cordialement.
>
> Cyrille DERORY

Le 09/10/20, service.informatique@ndlr.fr a écrit :
> Bonjour
> les professeurs doivent changer leur mot de passe apres un mois d'utilisation.
> Est ce qu'ils devront le refaire dans un mois? Peut on empecher ce phenomene?
> En Genconfig, je n'ai pas trouvé l'onglet de la durée de vie du mot de passe?
> est ce normal?
> merci
> cordialement
> Sebastien
> SI NDLR

Back