Politicas de senhas no Samba

[marcelo0786]

Politicas de senhas no Samba

Para quem usa o AD (Active Directory) da Microsoft tem algumas politicas de senhas como por exemplo, tempo de vida da senha e tamanho da senha, que ajuda muito na segurança da rede.

Para quem como eu gosta da liberdade, da rapidez e estabilidade que só um servidor Linux pode proporcionar segue uma dica para politica de senha no samba.

Apresento o Utilitário pdbedit.

Para utiliza-lo pasta colocar na seção global a seguinte opção:

passdb backend = tdbsam

Para que a senha do usuário expire a cada 45 dias e ele seja obrigado a mudá-la:

$ pdbedit -P "maximum password age" -C 3888000

Para que o usuário só possa mudar a senha após 7 dias depois da última troca:

$ pdbedit -P "minimum password age" -C 604800

O tamanho mínimo da senha será de 8 caracteres:

$ pdbedit -P "min password length" -C 8

Neste caso ele não poderá utilizar as últimas 3 senhas. Em conjunto com o "minimum password age" esta opção torna a política de senhas muito mais seguras:

$ pdbedit -P "password history" -C 3

A senha de root não expira:

$ pdbedit -c "[X ]" -u root

Caso seja necessário altera o nome de exibição no menu iniciar do user luis:

$ pdbedit -r --fullname="Viva o Linux" luis

Lista as informações do usuário:

$ pdbedit -Lv luis

Esse comando define que depois de 3 tentativas de login erro a conta fica bloqueada por um período, com isso que não sabe a senha não vai poder ficar chutando a senha quantas vezes quiser:

$ pdbedit -P "bad lockout attempt" -C 3

Nessa opção definimos o tempo de duração do bloqueio, nesse caso de 30 minutos, para definir que o bloqueio seja feito de forma manual pela área de suporte basta no lugar de "1800" colocar "-1" (menos um).

$ pdbedit -P "lockout duration" -C 1800

Uma das opções mais importante e fazer que o usuário troque sua senha no primeiro login, isso evita que o usuário fique utilizando a senha padrão:

$ net sam set pwdmustchangenow luis yes

Outra dica e quando criar a primeira senha criar uma senha por exemplo 12345 assim ela e menor que a numero minimo exigido pela politica de senha assim o usuário não pode tentar reutilizá-la.

Obs.: Os tempos são calculados em segundos isso pode ser feito através do conversor que muitos celulares tem ou na mão mesmo.

Se der um erro na hora de criar qualquer uma das politicas acima é só apagar o arquivo "account_policy.tdb" no Debian fica em "/var/lib/samba/". Ou então procurar na sua distro, use os comandos:

# updatedb
# locate account_policy.tdb

[Elton]

boaaaa!!

[dougsky]

Segurança nunca e demais!!!Mandou bem!!!

[marcelo0786]

Você também pode permitir que o usuário altere a senha:

Em algum momento os usuários vão precisar alterar suas senhas. Bom, em empresas pequenas isso não é problema, já que é só executar smbpasswd -a usuario no Servidor Samba que a senha é alterada.  Mas em grandes empresas, o volume de trabalho pode ser grande, e desnecessário.

Para que isso aconteça, basta adicionar as linhas abaixo à seção [global] do smb.conf

passwd sync = yes
passwd program = /usr/bin/passwd  %u
passwd chat  = *Enter\snew\s*\spassword:*  %n\n  \
*Retype\snew\s*\spassword:*  %n\n
*password\supdated\ssuccessfully*

O primeiro parâmetro define que o samba deverá tentar sincronizar a senha com a do Linux.
O segundo e o terceiro são essenciais para que a sincronização funcione, e dizem qual o programa
do Linux o Samba chamará para alterar a senha, e qual será a informação passada para esse programa. Salve o arquivo de configuração e reinicie o Samba . Agora será possível que os próprios
usuários alterem a senha, diretamente pelo Windows.