пользователи ldap (истечение срока действия пароля)
Модератор: SLEDopit
пользователи ldap
Все настроил все работает но есть затык как теперь мне сделать так чтоб при следующем входе в систему пользователям вышло окошко о смене пароля ?
s-k. отрезано от Достойный контроллер домена на Linux. (Подробный HowTo)
s-k. отрезано от Достойный контроллер домена на Linux. (Подробный HowTo)
Re: пользователи ldap
отметить пароль истёкшим?
$ man 5 shadow
там разные временные отметки.
изменить их можно и вручную, а можно и с помощью usermod.
$ man usermod
в ldap-е, я надеюсь, есть соответствующие атрибуты/программы.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: пользователи ldap
Я пробовал через usermod при попытки зайти она говорит что ваша учетная запись истекла обратитесь к администратору
Re: пользователи ldap
ага, значит, стандартные средства подхватили ldap-учётки.
ну тогда chage вам в помощь. если запустить только с одним аргументом, то программа заработает в диалоговом режиме:
ну тогда chage вам в помощь. если запустить только с одним аргументом, то программа заработает в диалоговом режиме:
Код: Выделить всё
$ sudo chage user
Changing the aging information for user
Enter the new value, or press ENTER for the default
Minimum Password Age [0]:
Maximum Password Age [99999]:
Last Password Change (YYYY-MM-DD) [2008-09-17]:
Password Expiration Warning [7]:
Password Inactive [-1]:
Account Expiration Date (YYYY-MM-DD) [1969-12-31]:
$
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: пользователи ldap
А через chage говрит что не найдет такой пользователь =(
- Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: пользователи ldap
man net:
самба в этом плане смотрит на "виндовые" аттрибуты аккаунта. которые в smbpasswd, ну, или в лдапе вот. менять их вообще можно либо подредактировав лдап, либо командой сверху, либо из винды.
я не переубеждаю никого, но склоняюсь к такому мнению, что если у вас есть виндовый домен на самбе, значит у вас есть винда. а в ней полно средств для управления доменами. если интересно - рекомендую dame ware nt utilites. стоит денег, но есть пробный период.
так же это можно сделать командой net из консоли любой вашей винды. ну или с помощью mmc. или утилит из nt 4.0.
вот как это выглядит:
Код: Выделить всё
SAM SET PWDMUSTCHANGENOW <NAME> [yes|no]
Set or unset the "password must change" flag for a user account.
самба в этом плане смотрит на "виндовые" аттрибуты аккаунта. которые в smbpasswd, ну, или в лдапе вот. менять их вообще можно либо подредактировав лдап, либо командой сверху, либо из винды.
я не переубеждаю никого, но склоняюсь к такому мнению, что если у вас есть виндовый домен на самбе, значит у вас есть винда. а в ней полно средств для управления доменами. если интересно - рекомендую dame ware nt utilites. стоит денег, но есть пробный период.
так же это можно сделать командой net из консоли любой вашей винды. ну или с помощью mmc. или утилит из nt 4.0.
вот как это выглядит:
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Re: пользователи ldap
Ленивая Бестолочь писал(а): ↑15.05.2010 15:36man net:
Код: Выделить всё
SAM SET PWDMUSTCHANGENOW <NAME> [yes|no] Set or unset the "password must change" flag for a user account.
самба в этом плане смотрит на "виндовые" аттрибуты аккаунта. которые в smbpasswd, ну, или в лдапе вот. менять их вообще можно либо подредактировав лдап, либо командой сверху, либо из винды.
я не переубеждаю никого, но склоняюсь к такому мнению, что если у вас есть виндовый домен на самбе, значит у вас есть винда. а в ней полно средств для управления доменами. если интересно - рекомендую dame ware nt utilites. стоит денег, но есть пробный период.
так же это можно сделать командой net из консоли любой вашей винды. ну или с помощью mmc. или утилит из nt 4.0.
вот как это выглядит:
Я не совсем понял вырожение виндовый домен на самбе. В общем поставил я домен на Debian Linux + MMC От Mandriva все прекрасно работает но от затык получился в том что
всем пользователям поставил пароль 123123 и теперь заставить поменять этот пароль в обще не реально. Вот и вопрос как можно сделать в linux чтоб у пользователей вышло это самое окошечко о том что нужно сменить пароль.
Я видел такую функцию в полноценном дистрибутиве от Mandirva, если его тоже реализовывать то нужны пакеты которые не доступны простым смертным.
- Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: пользователи ldap
да я вам вроде написал :-)
net SAM SET PWDMUSTCHANGENOW <имя юзера> yes -U <кем подключаться>
имя юзера - кому надо менять пароль
кем подключаться - логин администратора домена
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Re: пользователи ldap
Ленивая Бестолочь писал(а): ↑16.05.2010 22:08
да я вам вроде написал :-)
net SAM SET PWDMUSTCHANGENOW <имя юзера> yes -U <кем подключаться>
имя юзера - кому надо менять пароль
кем подключаться - логин администратора домена
Аха спасибо работает теперь вопрос другой =) как сделать теперь чтоб не вводить мильен раз команду для 200 пользователе
Re: пользователи ldap
Написать примерно такой скрипт(это на шелл - как это будет выглядить для виндового шелла, я не знаю):
Код: Выделить всё
#!/bin/bash
for i in `getent passwd | tail -200 | awk -F":" '{print $1;}'`; do
net sam set pwmustchangenow $i -U admin%password
done
Кроме того, я думаю, что для 200 пользователей уже нужен AD.
/earth: file system full
Re: пользователи ldap
strah писал(а): ↑17.05.2010 08:37
Написать примерно такой скрипт(это на шелл - как это будет выглядить для виндового шелла, я не знаю):
Код: Выделить всё
#!/bin/bash for i in `getent passwd | tail -200 | awk -F":" '{print $1;}'`; do net sam set pwmustchangenow $i -U admin%password done
Кроме того, я думаю, что для 200 пользователей уже нужен AD.
Фтопку АД ибо за него нужно бабки платить =) в общем отже решил данную проблему
и так каждые 3 месяца будут выгружаться пользователи в файлик например users
а далее небольшой скриптик на perl
Код: Выделить всё
#!/usr/bin/perl -w
open(FILE,"<",'./users') || die "$!\n";
while(<FILE>) {
chomp;
system ("net sam set pwdmustchangenow $_ yes \n");
}
close(FILE);
- Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: пользователи ldap
если вам надо сделать, чтобы ваши пользователи меняли пароль раз в три месяца - так бы и сказали :-)
это делается политикой домена.
если вы отказываетесь пользоваться виндовыми средствами администрирования доменов - думаю можно сделать примерно вот так:
Код: Выделить всё
echo dn: sambaDomainName=<название вашего домена> \
changetype: modify \
replace: sambaMaxPwdAge \
sambaMaxPwdAge: 8035200 | ldapmodify -x -h <адрес сервера лдап> -W -D <запись админа лдап>
<название вашего домена> - например firma.org
<адрес сервера лдап> - ip или имя хоста
<запись админа лдап> - что-то типа cn=admin,dc=firma,dc=org (посмотрите slapd.conf)
8035200 - время устаревания пароля в секундах.
да нет, в общем то с большим кол-вом пользователей самба нормально работает. и с большим кол-вом домен-контроллеров, кстати, тоже.
могу предположить, что АД нужен, если много и основательно использовать другие продукты MS, которые с ним работают, например exchange, а так же, если
хочется полноценную поддержку политик windows 2000.
ещё полезный параметр есть: sambaForceLogoff
это говорит контроллеру домена разлогинивать пользователя, у которого устарел пароль, а не ждать, пока он перезайдёт.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Re: пользователи ldap
что АД нужен, если много и основательно использовать другие продукты MS, которые с ним работают, например exchange, а так же, если
хочется полноценную поддержку политик windows 2000.
ХЗ хз я вот считаю что exchange в обще нафиг не нужен ибо для этого есть прекрастный продукт Zimbra не хуже тогоже exchange.
Ну а на совсем худой конец можно использовать и свой паровоз =)
А насчет политик думаю можно и побаловаться с файликами pol и тоже заставить их прекрастно работать
- Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: пользователи ldap
на вкус и цвет все фломастеры разные :-)
можно, они даже работают. можно подкинуть poledit-у шаблончики от windows xp и редактировать почти любые политики XP.
проблема в том, что вы не добьётесь возможности разделения политик, например, по группам пользователей, или по контейнерам с хостами.
в общем то, честно говоря, я не видел особо, чтобы такими возможностями пользовались люди, у которых АД есть. так что вероятно всем хватит реализации политик в самбе.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Re: пользователи ldap
Ленивая Бестолочь писал(а): ↑17.05.2010 11:00
на вкус и цвет все фломастеры разные :-)
можно, они даже работают. можно подкинуть poledit-у шаблончики от windows xp и редактировать почти любые политики XP.
проблема в том, что вы не добьётесь возможности разделения политик, например, по группам пользователей, или по контейнерам с хостами.
в общем то, честно говоря, я не видел особо, чтобы такими возможностями пользовались люди, у которых АД есть. так что вероятно всем хватит реализации политик в самбе.
От тоже так думаю ибо у всех где стоит AD они используют только для того чтоб поставить exchange да и пользователям дать прова польльзователей а не админские
Re: пользователи ldap
а у топик-стартера и есть ldap. посмотрите на первый пост — там написано, откуда вопрос был отрезан,
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
- Ленивая Бестолочь
- Бывший модератор
- Сообщения: 2760
- ОС: Debian; gentoo
Re: пользователи ldap
Саша, ты не прав, active directory и ldap - это не одно и то же.
active directory - это комплекс решений, включающих в себя керберос, всякие политики, средства управления, и, в том числе, сервер лдап.
прошу ещё заметить, что лдап у них довольно навороченный (не всегда по rfc), и имеет некоторые вещи, которые в openldap отсутвствуют.
например gc, а так же подключения по udp.
такие дела.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Re: пользователи ldap
Ленивая Бестолоч...
Саша, я ответил, собственно, по существу — если применённое решение работает при количестве пользователей n<200, то при n=200 оно тоже прекрасно справится.
p.s. про то, что ad — это несколько больше, чем ldap, я где-то слышал (улыбка).
Саша, я ответил, собственно, по существу — если применённое решение работает при количестве пользователей n<200, то при n=200 оно тоже прекрасно справится.
p.s. про то, что ad — это несколько больше, чем ldap, я где-то слышал (улыбка).
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: пользователи ldap
кстати, а более подробный список отличий от rfc в природе существует?Ленивая Бестолоч... писал(а): ↑17.05.2010 11:42прошу ещё заметить, что лдап у них довольно навороченный (не всегда по rfc), и имеет некоторые вещи, которые в openldap отсутвствуют.
например gc, а так же подключения по udp.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог