・CentOS8とSamba4で構築したActive Directoryでパスワードポシリーを変更したい。
・ネットで調べた方法で「Default Domain Policy」を変更したけど上手く反映されない。
・具体的な対処手順を教えてほしい。
こういった疑問に答えます。
本記事の内容
- 通常のActive Directory環境でのパスワードポリシーの変更手順
- CentOS8とSamba4で構築しているActive Directory環境でのパスワードポリシーの変更手順
この記事を書いている私は、某SIerに勤務しながら、
WEB系エンジニア・インフラエンジニアに憧れて、プログラミングおよびインフラ技術の勉強をしています。
こういった私が、解説していきます。
私が実機で試したコマンドや画像を載せて書いています。
記事の信頼性担保に繋がると思います。
Windows Serverで構築している通常のActive Directory環境でのパスワードポリシーの変更手順でやっても、Samba4の場合には上手くいかずにハマってしまうことがあります。
今回の記事では、前半で通常のWindowsでの手順を、後半ではCentOS8/Samba4での手順を紹介します。
- 本記事の内容
- 通常のActive Directory環境でのパスワードポリシーの変更手順
- パスワードポリシー変更後の結果確認
- AD管理者ユーザーで、ドメインユーザーのパスワードをリセット
- CentOS8とSamba4で構築しているActive Directory環境でのパスワードポリシーの変更手順
- まとめ
通常のActive Directory環境でのパスワードポリシーの変更手順
まずは、通常のWindows ServerでActive Directoryを構築している場合の、パスワードポリシー変更の手順です。
グループポリシーの管理から変更
グループポリシーの管理>「グループポリシーオブジェクト」>Default Domain Policy
右クリックして「編集」
グループポリシー管理エディター
コンピュータの構成>ポリシー>Windowsの設定>セキュリティの設定>アカウントポリシー>パスワードのポリシー
今回はテスト用に、パスワードポリシーを最も簡単な形に変更しました。
- パスワードの最小文字数の監査
- パスワードの最小文字数の制限を緩和する
- パスワードの長さ
- パスワードの変更禁止期間
- パスワードの有効期間
- パスワードの履歴を記録する
- 暗号化を元に戻せる状態でパスワードを保存する
- 複雑さの要件を満たす必要があるパスワード
パスワードポリシー変更後の結果確認
以下の手順で、変更の結果確認をします。
グループポリシーの管理>グループポリシーの結果>右クリックして「グループポリシーの結果ウィザード」
グループポリシーの結果画面
設定>ポリシー>Windowsの設定>セキュリティの設定>アカウントポリシー/パスワードのポリシー
変更した「Default Domai Policy」のポリシーが適用されていることが確認できます。
AD管理者ユーザーで、ドメインユーザーのパスワードをリセット
Active Directoryユーザーとコンピューターでパスワードのリセット
対象のユーザーを右クリックして「パスワードのリセット」
ここで、CentOS8/Samba4でADを構築している場合は、パスワードが簡単すぎると、変更ができませんでした。
パスワードを更新できませんでした。
新しいパスワードとして指定された値は、
パスワードの長さ、複雑さ、または履歴に関するドメインの要件を満たしていません。
[f:id:souiunogaii:20201018132824j:plain:alt=]
ユーザ自信が[Ctrl + Alt + Del]キーでパスワード変更
ユーザが自分自身で[Ctrl + Alt + Del]キーでパスワード変更する場合も、
パスワードが簡単すぎると、変更ができません。
[f:id:souiunogaii:20201018132835j:plain:alt=]
[f:id:souiunogaii:20201018132847j:plain:alt=]
[f:id:souiunogaii:20201018132857j:plain:alt=]
パスワードの変更を完了できません。
理由:パスワードはパスワードポリシーの要件を満たしていません。
パスワードの最短の長さ、パスワードの複雑性、およびパスワード履歴の要件を確認してください。
CentOS8とSamba4で構築しているActive Directory環境でのパスワードポリシーの変更手順
ここからは、CentOS8/Samba4でActive Directoryを構築している場合の、パスワードポリシーの変更手順です。
現在のパスワードポリシーの確認
samba-tool domain passwordsettings show
[root@SV-EARTH ~]# samba-tool domain passwordsettings show Password information for domain 'DC=ad,DC=planet,DC=jp' Password complexity: on Store plaintext passwords: off Password history length: 24 Minimum password length: 7 Minimum password age (days): 1 Maximum password age (days): 42 Account lockout duration (mins): 30 Account lockout threshold (attempts): 0 Reset account lockout after (mins): 30
項目 | 値 | 説明 |
---|---|---|
Password complexity | on | パスワードの複雑性を要求するか |
Store plaintext passwords | off | パスワードを平文のまま保存するか |
Password history length | 24 | パスワードの履歴を記録する世代数 |
Minimum password length | 7 | パスワードの長さ |
Minimum password age (days) | 1 | パスワードの変更禁止期間 |
Maximum password age (days) | 42 | パスワードの有効期間 |
Account lockout duration (mins) | 30 | パスワード間違いでのロック時間(分) |
Account lockout threshold (attempts) | 0 | ロックされるまでのパスワード間違い試行回数 |
Reset account lockout after (mins) | 30 | パスワード間違いのロック解除までの時間(分) |
Samba4でのパスワードポリシーの変更
パスワードの複雑性
samba-tool domain passwordsettings set --complexity=off
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --complexity=off Password complexity deactivated! All changes applied successfully!
パスワードの長さ
samba-tool domain passwordsettings set --min-pwd-length=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --min-pwd-length=0 Minimum password length changed! All changes applied successfully!
パスワードの変更禁止期間
samba-tool domain passwordsettings set --min-pwd-age=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --min-pwd-age=0 Minimum password age changed! All changes applied successfully!
パスワードの有効期間
samba-tool domain passwordsettings set --max-pwd-age=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --max-pwd-age=0 Maximum password age changed! All changes applied successfully!
パスワード間違いでのロック時間
samba-tool domain passwordsettings set --account-lockout-duration=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --account-lockout-duration=0 Account lockout duration changed! All changes applied successfully!
ロックされるまでのパスワード間違い試行回数
samba-tool domain passwordsettings set --account-lockout-threshold=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --account-lockout-threshold=0 Account lockout threshold changed! All changes applied successfully!
パスワード間違いのロック解除までの時間
samba-tool domain passwordsettings set --reset-account-lockout-after=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --reset-account-lockout-after=0 Duration to reset account lockout after changed! All changes applied successfully!
パスワードの履歴を記録する世代数
samba-tool domain passwordsettings set --history-length=0
[root@SV-EARTH ~]# samba-tool domain passwordsettings set --history-length=0 Password history length changed! All changes applied successfully!
ユーザ自信が[Ctrl + Alt + Del]キーでパスワード変更
ユーザが自分自身で[Ctrl + Alt + Del]キーでパスワード変更します。
今度は、簡単なパスワードでも変更ができました。
参考サイト
まとめ
今回は、Active Directoryのパスワードポリシーの変更手順を紹介しました。
Windows Serverで構築している通常のActive Directory環境でのパスワードポリシーの変更手順と、
CentOS8/Samba4で構築している場合の変更手順は違います。
Smaba4のコマンドを使わないと、Windowsだけでは変更できたように見えても反映されていない。