Koozali.org: home of the SME Server

SME Server SMB e legge sulla privacy

smeuro

SME Server SMB e legge sulla privacy
« on: November 24, 2006, 10:26:31 PM »
Ciao a tutti,
al fine di adeguare il sistema a quanto stabilito dall'attuale normativa sulla privacy in fatto di password, ecc. bla bla, ho provato a cambiare il backend delle password di samba.
O meglio, nell'impostazione standard viene usato smbpasswd, e dopo aver importato le password con pdbedit ho cambiato il backend con tdbsam, con cui è possibile, modificare a proprio piacimento alcune policy tra cui la password history, maximum password age, e min password length.
Così facendo è possibile demandare e obbligare gli utenti delle postazioni Windows il cambio delle password ogni 3/6 mesi.
Ad ogni modo, non credo, e vorrei che qualcuno mi confermasse, che questa modifica non alteri la gestione delle password nel server manager.
Chiaramente le modifiche sono state effettuate tramite template.
Se interessa posso spiegare brevemente il procedimento.
Ovviamente l'aspetto che ho ritenuto predominante è la funzionalità di PDC.

Buon lavoro :)

maxmax_1969

SME Server SMB e legge sulla privacy
« Reply #1 on: November 25, 2006, 12:06:50 AM »
E' esattamente quello che stavo cercando da tempo.
Riuscire ad impostare una scadenza pw in modo automatico.

Potresti gentilmente "postare" la procedura. Usando la versione 7 in ufficio come testing potrebbe essermi veramente di aiuto. Grazie

smeuro

SME Server SMB e legge sulla privacy
« Reply #2 on: November 25, 2006, 12:12:02 PM »
Dammi il tempo di riorganizzare il procedimento.
Nella mia ignoranza è un anno che cercavo di capire come fare su sme, anche perché su altre distro lisce non avevo problemi ad attuare simili misure, e sulla rete è pieno di how to.

maxmax_1969

Grazie per la disponibita'
« Reply #3 on: November 25, 2006, 04:02:48 PM »
Ti ringrazio anticipatemente per la disponibilità.

ho notato che usando in windows la funzione cambia password (ctrl+alt+del quando autenticato sul dominio) le password vengono cambiate anche sula posta elettronica.

Ma non sono mai riuscito a generare i comandi di "scadenza password" gestita dal server.

Nell'attesa di tue DELUCIDAZIONI in merito, ringrazio.

Massimiliano.

Offline pelli

  • **
  • 66
  • +0/-0
SME Server SMB e legge sulla privacy
« Reply #4 on: November 26, 2006, 12:03:30 PM »
aspetto anch'io impazientemente  :D

Ciao

Offline masterbuga

  • 8
  • +0/-0
    • http://www.scsgroup.it
SME Server SMB e legge sulla privacy
« Reply #5 on: November 29, 2006, 10:29:06 AM »
la procedura direi che è la seguente:

si crea una nuova cartella
mkdir -p /etc/e-smith/templates-custom/etc/smb.conf/

poi
cp /etc/e-smith/templates/etc/smb.conf/11passdbBackend /etc/e-smith/templates-custom/etc/smb.conf/

successivamente modifichiamo il file copiato
pico /etc/e-smith/templates-custom/etc/smb.conf/11passdbBackend
----------------------------------------------------------------------
    {
    #Set the Samba user account dbase backend
    }
    passdb backend = tdbsam:/etc/samba/passdb.tdb


quindi salviamo e usciamo (CTRL+X)

riscriviamo la configuraziobe di smb.conf
expand-template /etc/smb.conf

poi lo riavviamo
service smb restart

A questo punto importiamo gli utenti di "smbpasswd" nel nuovo backend "passdb.tdb"

pdbedit -i smbpasswd

Da questo momento il nostro backend è "tdbsam"

Per verificare:
pdbedit -L

Se è andato tutto bene ora possiamo gestire i nostri utenti con il comando pdbedit dove con l'opzione -P si possono impostare le varie policies:

pdbedit -P "minimum password age"
pdbedit -P "reset count minutes"
pdbedit -P "disconnect time"
pdbedit -P "user must logon to change password"
pdbedit -P "password history"
pdbedit -P "lockout duration"
pdbedit -P "min password length"
pdbedit -P "maximum password age"
pdbedit -P "bad lockout attempt"


PROVATE E FATEMI SAPERE!!!!  :lol: :lol:

smeuro

SME Server SMB e legge sulla privacy
« Reply #6 on: December 01, 2006, 11:21:16 PM »
Aggiungerei solo di non cambiare le password con pdbedit, in quanto, pur essendo attiva la sincronizzazione in smb.conf tra le password samba e passwd questo comando non le mantiene allineate, e si rischia di avere password diverse, ad esempio, tra la posta e le cartelle di rete.
Meglio ricorrere al sever manager o al smbpasswd.

Una nota. Utilizzando un backend diverso da smbpasswd, il database del nuovo backend non viene incluso nel backup. O meglio il file passdb.tdb non verrà backuppato con le ovvie conseguenze. A meno di intervenire diversamente.

Offline pelli

  • **
  • 66
  • +0/-0
SME Server SMB e legge sulla privacy
« Reply #7 on: December 02, 2006, 05:31:34 PM »
Ho sperimentato questa nuova configurazione su una macchina di test e sembra funzionare... unico problema riscontrato è che non vengono più utilizzate le cracklib per controllare la robustezza della password.

Qualcuno di voi ha qualche soluzione?

Ciao

Offline filippoc

  • *
  • 114
  • +0/-0
SME Server SMB e legge sulla privacy
« Reply #8 on: December 18, 2006, 07:38:53 PM »
La soluzione è, forse e in parte, in alcuni bug (vedi bugzilla).
Ma l'approccio seguito è leggermente diverso.