2009年9月3日木曜日

Samba3.0でパスワードの有効期限の処理

昔のSamba(3.0.24ぐらいまでかな)は、sambaPwdMustchange属性に、パスワードの有効期限が書かれていた。

これは、パスワードを変更するたびに、アカウントポリシーと合わせて計算された結果が記録されていた。そのため、ユーザーがパスワードを変更しないと、パスワードの有効期限を更新することができなかった。そのため、管理者がパスワードの有効期限のポリシーを変更しても、パスワードを変更しないユーザーには新しいポリシーが適用できなかった。

そのためかどうか分からないけど、最近のsambaは、「sambaPwdLastChangeの値 + パスワードポリシーの有効期限」が、パスワードの有効期限として扱われるようになっている。
そのため、sambaPwdMustChangeは使われなくなった。

ということで、下記にあるように、PDC(3.0.24) + BDC(3.0.35)みたいな構成にしていると、パスワードの有効期限の処理に問題が出てしまうので、ドメインコントローラーのsambaのバージョンは合わせましょうというお話。
http://lists.samba.org/archive/samba/2009-September/150256.html

ちなみに、古いsmbldap-toolsあたりも、このあたりの処理がsambaPwdMustChangeを利用するようになっていて、最新のsambaと組み合わせるとうまく動作しなかったりしたはず。

0 件のコメント:

コメントを投稿