Product SiteDocumentation Site

40.2.2. С помощью samba-tool

Для работы с объектами PSO используется подкоманда pso утилиты samba-tool.
Команда изменения PSO: 
# samba-tool domain passwordsettings pso <подкоманда>
Доступные подкоманды:
  • apply — применить политику паролей PSO к пользователю или группе;
  • create — создать новый объект настроек пароля (PSO);
  • delete — удалить объект настроек пароля (PSO);
  • list — вывести список всех объектов настроек пароля (PSO);
  • set — изменить объект настроек пароля (PSO);
  • show — показать детали объекта настроек пароля;
  • show-user — отобразить настройки пароля, которые применяются к пользователю;
  • unapply — обновить PSO, чтобы он больше не применялся к пользователю или группе.
Для создания нового объекта PSO используется команда: 
# samba-tool domain passwordsettings pso create <pso-name> <precedence> [options]
Подкоманда создает новую парольную политику с указанным именем (<pso-name>). Имя должно быть уникальным на уровне домена.
При создании политики может быть задан ее приоритет (<precedence>), который будет учитываться в том случае, если к пользователю или группе пользователей применяются несколько политик. Чем меньше значение параметра precedence, тем выше приоритет.
В качестве аргументов передаются атрибуты парольной политики с требуемыми значениями.

Примечание

Для создания политики требуется передать новое значение хотя бы для одного атрибута.
Для применения атрибутов, заданных в объекте PSO, к определенному пользователю или группе используется команда: 
# samba-tool domain passwordsettings pso apply <pso-name> <user-or-group-name> [options]
Подкоманда обеспечивает применение атрибутов парольной политики (PSO) с указанным именем (<pso-name>) к указанному пользователю или группе пользователей (<user-or-group-name>).
Пример создания и назначения парольной политики:
  1. Создать парольную политику: 
    # samba-tool domain passwordsettings pso create PwPolicyUser 1 --min-pwd-length=10
Not all password policy options have been specified.
For unspecified options, the current domain password settings will be used as the default values.
PSO successfully created: CN=PwPolicyUser,CN=Password Settings Container,CN=System,DC=test,DC=alt
Password information for PSO 'PwPolicyUser'

Precedence (lowest is best): 1
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 10
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30
  2. Назначить созданную политику пользователю ivanov: 
    # samba-tool domain passwordsettings pso apply PwPolicyUser ivanov
The following PSO settings apply to user 'ivanov'.

Password information for PSO 'PwPolicyUser'

Precedence (lowest is best): 1
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 10
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

Note: PSO applies directly to user (any group PSOs are overridden)
Чтобы увидеть, какой PSO действует для данного пользователя, используется команда samba-tool pso show-user: 
# samba-tool domain passwordsettings pso show-user kim
No PSO applies to user 'kim'. The default domain settings apply.
Refer to 'samba-tool domain passwordsettings show'.
Для получения списка всех объектов PSO в домене используется команда: 
# samba-tool domain passwordsettings pso list [options]
Эта подкоманда выводит список всех парольных политик (PSO), доступных в домене, в виде таблицы со столбцами Precedence и PSO name.