Samba jako doména nemožnost změna hesla z Windows XP

[hama4tux]

Ahoj všem,

Chtěl bych se zeptat, co je za potřebý k tomu aby z windows xp na cestovním profilu, šlo změnit při stizknutí klávesi ctrl + alt +del heslo.

Configurace
pam password change = Yes

passwd program = /usr/bin/smbpasswd -U %u
passwd chat = *New*SMB*password:* %n\n *Retype*new*SMB*password:* %n\n
#passwd program = /usr/bin/passwd %u
#passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
unix password sync = Yes

security = user
domain logons = yes

[lukash2]

no nevim, sám se sambou zacinam, ale pokud máš na tom druhém serveru overování DOMAIN a LDAP tak to asi na novém bez tohoto nastavení fungovat nemůže. počítám, že autentifikace LDAP ověřuje uživatele vůči serveru LDAP kde jsou useři definování.

[hama4tux]

Nooo nevím, sám jsem z toho mírně zmatený....

až dám do hromady pam.d tak uvidím... ted je totálně rozbouraný... respektive už rok:)

[prochap]

v smb.conf  "passwd program" a "passwd chat"

passwd program = /usr/bin/smbpasswd -U %u
passwd chat = *New*SMB*password:* %n\n *Retype*new*SMB*password:* %n\n

pro sambu s ldap
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*SMB*password:* %n\n *Retype*new*SMB*password:* %n\n

passwd chat je nutné nastavit přesně podle dialogu při zadání příkazu. Konfigurace platí pro en lokalizaci. Funkční v konfiguraci samba + openldap, takže předpokládám že pro sambu je to stejné.

[hama4tux]

Dík za reakci:)
 
já měl konfiguraci trochu jinou.

passwd program = /usr/bin/passwd %u
#passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
No ad2. Když dám tedy ctrl + alt delte - a dám změnu hesla vyplním vše potřebné dám OKEJ
Tak mi to vypiše že nemám dostatečná oprávnění pro změnu hesla

[prochap]

Zkusit přehodit passwd program na smbpasswd a pro synchronizaci s účty linuxu použít "unix password sync = yes".

[prochap]

Ještě mě napadá directiva "smb passwd file =" tak zde nastavit cestu smbpasswd. Případně nastavit "passwd chat debug = yes" a kouknout do logu.

[hama4tux]

No já na to asi ted přišel:)

Změna hesla se řídí dle modulu pam.d common-* atd...

A zmíněný pam.d je uplně na kaši:) a má v sobě starou konfiguraci ku ldapu - který ale není - to řešení nefungovalo

[hama4tux]

Tak pam.d jsem dal dnes do kupy... ale bohužel to tím nebylo.

Další možnost je že je něco v GP - (Group Polici) Ale ty jsem nedělal mám je poděděné.. tak je nejdřív budu muset prostudovat

ještě zkusím nastavit ten debug jak píšeš zbytek sem podle tebe již přepsal...

[hama4tux]

Ještě mě napadá directiva "smb passwd file =" tak zde nastavit cestu smbpasswd. Případně nastavit "passwd chat debug = yes" a kouknout do logu.

"smb passwd file =" tímhle myslíš soubor s loginem=heslem?

[hama4tux]

tak řešení tohoto problému

ad1 - špatná pam.configurace
ad2 - smb.conf

pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
passwd chat debug = yes
unix password sync = no

uživatel prostě nebyl schopný změnit heslo z důvodu že neprošla následná synchronizace s unix password na kterou nemá dostatečné oprávnění.

Takle to funguje

[hama4tux]

Ještě bych to rád znovu otevřel... chtěl bych nastavit max platnost hesla a aby se heslo po sobě neopakovalo.

Tuším že příkaz usermod - umí password expire.
smbpasswd - žádnou takovou možnost nemá.

tak ještě hledám, jestli se nedá nastavit něco přímo v smb.conf, ale spíše si říkám že se to bude řešit v pam.d kde se dá uvést min délka hesla max délka hesla -tak asi pravděpodobně tam....

Postrčte mě zprávným směrem:)

[hama4tux]

tak pomocí chage sem nastavil platnost učtu... ale teď ještě potřebuji, třeba ted mi např. platnost učtu vypršela 15.1, čili dnes, ale pořád se do systému přihlásím a nevnucuje mi to změnu hesla při přihlášení do XP - to jsem ani nečekal, tuším, že bude zapotřebí ještě nějaká configurace samby..