Appliquer une stratégie de mot de passe avec Samba-AD

Nouveau dans la version 4.9.

Dans Samba-AD la stratégie de mot de passe domaine est gérée en ligne de commande :

  • Pour la complexité (par défaut activé).

  • Pour la taille minimale du mot de passe (par défaut 7 caractères).

  • Pour l’âge minimal / maximal du mot de passe (par défaut min 1 / max 42).

Historiquement les règles de mot de passe sur un domaine Samba était globale au domaine. Depuis la version Samba 4.9 il est possible de définir des règles de complexité de mot de passe par groupe et par utilisateur grâce à PSO, aussi appelé FGPP.

Créer une règle de mot de passe pour les Administrateurs

Il est nécessaire de mettre en place en même temps une politique de mot de passe pour l’ensemble des autres utilisateurs sinon il risque d’y avoir des problèmes de performance (bug samba) :

samba-tool domain passwordsettings pso create "pso_domain_admins" 1 --min-pwd-length=16
samba-tool domain passwordsettings pso apply "pso_domain_admins" "domain admins"

samba-tool domain passwordsettings pso create "pso_service_accounts" 2 --min-pwd-length=24
samba-tool domain passwordsettings pso apply "pso_service_accounts" "service_accounts"

samba-tool domain passwordsettings pso create "pso_domain_users" 99 --min-pwd-length=12
samba-tool domain passwordsettings pso apply "pso_domain_users" "domain users"

Valider les stratégies de mot de passes différenciées

samba-tool domain passwordsettings pso show-user administrator
samba-tool user create testuser
samba-tool domain passwordsettings pso show-user testuser

Comme mentionné ci-dessus, il est préférable de créer une configuration PSO pour chaque utilisateur (sinon il y a un bug de performance). Ceci dit, s’il n’y a pas de règle pour un utilisateur, c’est la règle par défaut qui lui sera appliquée. Pour afficher la règle par défaut, on lance la commande samba-tool domain passwordsettings show.

L’aide sur la configuration des paramètres de stratégies est accessible en faisant samba-tool domain passwordsettings set --help.

--complexity=off
--history-length=0
--min-pwd-age=0
--max-pwd-age=0
--min-pwd-length=6