Linuxアカウントが主なシステム/権限である場合、SambaパスワードをローカルLinuxアカウントと同期する方法は?
これは驚くほど複雑な要求/要件のようです。何週間もインターネットを検索しましたが、実装したいシナリオにつながる項目がまだ見つかっていないためです。
背景:
特定のアプリケーション用にコンピューティングサーバー、ファイルサーバー、および印刷サーバーとしてLinuxサーバーを実行する必要があります。このサーバーオペレーティングシステムとアプリケーションを実行するには、より高いレベルのパスワードセキュリティとパスワードポリシーが必要です。それは:
- 最小パスワード長> 8
- パスワードの複雑さには以下を含める必要があります。+UP-Char、+LC-Char、+Digit、+NonAlphanumeric-Char
- パスワード記録 > 20
- クラックライブラリ辞書
- 10回間違ったログイン試行後に自動(永久)ロック(SshとSamba側)
- 最大パスワード使用期間は180日で、2週間以内にパスワードを変更する必要がある場合は、ログイン時に警告が表示されます。
- 最小パスワード使用期間は1日です。
各ユーザーには、SSHログインとSAMBA用のパスワードを含むサーバーのローカルLinuxアカウントが必要です。ユーザーは、外部の自律Active DirectoryドメインのメンバーであるWindows 10ワークステーションからSAMBAにアクセスします。したがって、Windowsワークステーションは必要に応じてSMB / CIFSを介してサーバーに接続できますが、特定のSAMBAサーバーのドメインメンバーではありません。
重要:SSHログイン(ローカルLinuxアカウント)およびリモートSAMBAアクセスのためのユーザーパスワードは、Samba(smb / cifs経由)ではなく、「passwd」または他の単一のコマンドでユーザーが直接設定したのと同じパスワードを使用する必要があります。
私はSuSE SLES 12 SP4に基づいてこれを達成しようとしています。
注:PAMモジュール「pam_smbpass.so」がまだSAMBAパッケージの一部である場合、いくつかの追加のPAMモジュール(pam_cracklib、pam_pwhistoryなど)とともにSLES 11サーバーに実装しました。しかし、それはサンバのようです。何らかの理由で、ORGはSAMBA 4リリース中にpam_smbpass.soを削除することにしました。
これで質問は次のとおりです。指定された要件に対して pam_smbpass.so を使用せずに Linux SSH+SAMBA シナリオを再構築/構成する方法は?
pam_winbind.soは同じことをしないようです。他のPAMモジュール(pam_exec.soなど)もその操作を実行できないようです。
今私の選択は何ですか?