Всем доброго здравия.
Осуществляю постепенный переход фирмы с Win на Linux.
Сервера почти все переведены, кроме терминалльных серверов и рабочих станций.
Сейчас пришла их очередь.
Для авторизации пользователей и решения небольшого числа групповых политик используется AD.
Документации и статей по настройке терминалок на Linux и настройки авторизации в AD предостаточно. Для включения Linux машин в домен использую PBIS Open. В общем и целом всё замечательно, кроме одного - при окончании срока действия пароля пользователя AD не понятно как его обновить без авторизации пользователя на виндовой машине.
Три дня пытаюсь найти решение возникшей проблемы.
Кто-нибудь решал подобную задачу?
Оффтоп
Лично мое мнение:
для всех задач есть свое оптимальное решение.
И сдается мне что Вы зря затеяли скрещивать групповые политики AD с рабочими станциями на базе Linux...
> И сдается мне что Вы зря затеяли скрещивать групповые политики AD с
> рабочими станциями на базе Linux...Я наверно непонятно выразился. У меня не стоит задача настривать групповые политики для Linux.
Мне только нужна возможность авторизации AD пользователей на Linux машинах.
И с этим я тоже уже разобрался, за исключением проблемы обновления устаревшего пароля этого пользователя.Другими словами.
В AD есть требование обновления пароля пользователя раз в 60 дней.
Когда пользователь логинится на linux машине под своей доменной учетной записью с просроченным паролем, комп сообщает ему, что пароль просрочен... и всё :-(
Мне нужно, чтобы вместо предупреждения появлялся диалог обновления пароля, если конечно такое возможно.
Т.е. я ищу возможность обновить пароль учетной записи AD из под linux.
> Другими словами.
> В AD есть требование обновления пароля пользователя раз в 60 дней.
> Когда пользователь логинится на linux машине под своей доменной учетной записью с
> просроченным паролем, комп сообщает ему, что пароль просрочен... и всё :-(Если не подводит память, эти 60 дней менятся штатными ср-вами управлениями "политиками" AD.
Разумеется, если это не рагламентировано внутренними циркулярами организации.
> Если не подводит память, эти 60 дней менятся штатными ср-вами управлениями "политиками"
> AD.
> Разумеется, если это не рагламентировано внутренними циркулярами организации.Если Вы предлагаете сделать пароли бессрочными, то такое решение категорически не устраивает.
>> Если не подводит память, эти 60 дней менятся штатными ср-вами управлениями "политиками"
>> AD.
>> Разумеется, если это не рагламентировано внутренними циркулярами организации.
> Если Вы предлагаете сделать пароли бессрочными, то такое решение категорически не устраивает.Нужен гостевой аккаунт со страницей смены пароля.
> Нужен гостевой аккаунт со страницей смены пароля.Не совсем представляю способ реализации Вашего предложения.
Можете подробнее описать?
>> Нужен гостевой аккаунт со страницей смены пароля.
> Не совсем представляю способ реализации Вашего предложения.
> Можете подробнее описать?Юзеер имеет графический вход? тогда дисплей манагер должен предоставить ему возможность ввести имя/пароль, если он не может войти, то он выбирает вход под юзером (ну например guest), под этим юзером открывается браузер со страницей смены пароля или открывается минимальное приложение которое через kerberos меняет пароль.
помимо прочего можно использовать политики смены паролей на уровне pam, во время входа пользователя проверять время жизни пароля и заранее предлагать смену, ну и вход с помощью otp в sufficient секцию
Пароль текущего юзера AD меняется командой: kpasswd $USER
Эту команду вставляем в кнопку запуска, получаем ярлык.
Так пользователь может менять свой пароль пока тот еще действителен, после предупреждения "Осталось ... дней до окончания действия пароля".
Создание "общего" пользователя, способного менять кому угодно пароли в АД, на мой взгляд, несколько ммм... небезопасно.