Глава 41. Управление парольными политиками

⁠Глава 41. Управление парольными политиками

В Альт Домен настройки пароля позволяют настроить:

минимальные требования к длине и сложности пароля;
длину истории паролей: предотвращает повторное использование пользователем предыдущего пароля;
минимальный и максимальный срок действия пароля: как часто пользователь может/должен менять свой пароль;
блокировку учетной записи: пороговое значение неудачных попыток входа в систему перед блокировкой учетной записи пользователя и продолжительность блокировки.

Для управления настройками паролей используется подкоманда passwordsettings утилиты samba-tool.

Управление политиками паролей домена производится на контроллере домена.

⁠41.1. Глобальные парольные политики

Для просмотра текущих параметров политик паролей используется команда:

# samba-tool domain passwordsettings show

Например:

# samba-tool domain passwordsettings show
Password information for domain 'DC=test,DC=alt'

Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

Команда изменения параметра политик паролей:

# samba-tool domain passwordsettings set <параметр>

Возможные параметры:

--complexity=on|off|default — должен ли пароль отвечать требованиям сложности (по умолчанию on);
--store-plaintext=on|off|default — хранить пароли используя обратимое шифрование (по умолчанию off);
--history-length=целое число|default — число хранимых предыдущих паролей пользователей (требование неповторяемости паролей) (по умолчанию 24);
--min-pwd-length=целое число|default — минимальное количество символов в пароле (по умолчанию 7);
--min-pwd-age=целое число|default — минимальный срок действия пароля (по умолчанию 1);
--max-pwd-age=целое число|default — максимальный срок действия пароля (по умолчанию 43);
--account-lockout-duration=целое число|default — интервал времени (в минутах), в течение которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована (по умолчанию 30);
--account-lockout-threshold=целое число|default — допустимое количество неудачных попыток ввода пароля перед блокировкой учетной записи (по умолчанию 0 — никогда не блокировать);
--reset-account-lockout=целое число|default — интервал времени (в минутах), по истечении которого записанное количество попыток начинается заново (по умолчанию 30).

Изменить минимальную длину пароля и количество неудачных попыток входа в систему:

# samba-tool domain passwordsettings set \
--min-pwd-length=7 --account-lockout-threshold=3

Minimum password length changed!
Account lockout threshold changed!
All changes applied successfully!

Примечание

Определить, была ли учётная запись пользователя заблокирована после нескольких неудачных попыток входа в систему можно, просмотрев параметры учётной записи. Если badPwdCount достиг своего порога и для пользователя существует параметр lockoutTime значит учётная запись была заблокирована после нескольких неудачных попыток входа в систему:

# samba-tool user show ivanov
…
badPwdCount: 3
badPasswordTime: 133560395216186060
lockoutTime: 133560395216186060
…

Чтобы разблокировать пользователя, необходимо отредактировать объект учётной записи пользователя, установив для атрибута lockoutTime значение 0:

# samba-tool user edit ivanov
Modified User 'ivanov' successfully

# samba-tool user show ivanov
…
badPasswordTime: 133560395216186060
lockoutTime: 0
…

Разблокировать пользователя также можно в модуле удалённого управления базой данных конфигурации (ADMC) (подробнее см. Модуль удаленного управления базой данных конфигурации (ADMC)):

Изменение значения атрибута lockoutTime в ADMC