Linux 계정이 주요 시스템/권한인 경우 Samba 비밀번호를 로컬 Linux 계정과 동기화하는 방법은 무엇입니까?
이는 놀라울 정도로 복잡한 요청/요구 사항인 것 같습니다. 몇 주 동안 인터넷을 검색했지만 구현하고 싶은 시나리오로 연결되는 항목을 아직 찾지 못했기 때문입니다.
배경:
특정 애플리케이션을 위한 컴퓨팅 서버, 파일 서버 및 인쇄 서버로 Linux 서버를 실행해야 합니다. 이 서버 운영 체제와 애플리케이션을 실행하려면 더 높은 수준의 비밀번호 보안과 비밀번호 정책이 필요합니다. 그건:
- 최소 비밀번호 길이 > 8
- 비밀번호 복잡성은 다음을 포함해야 합니다: +UP-Char, +LC-Char, +Digit, +NonAlphanumeric-Char
- 비밀번호 기록 > 20
- 크랙 라이브러리 사전
- 10회 잘못된 로그인 시도 후 자동(영구) 잠금(Ssh 및 Samba 측)
- 최대 비밀번호 사용 기간은 180일이며, 2주 이내에 비밀번호를 변경해야 하는 경우 로그인 시 경고가 표시됩니다.
- 최소 비밀번호 사용 기간은 1일입니다.
각 사용자는 SSH 로그인 및 SAMBA를 위한 비밀번호가 포함된 서버의 로컬 Linux 계정이 필요합니다. 사용자는 외부 자치 Active Directory 도메인의 구성원인 Windows 10 워크스테이션에서 SAMBA에 액세스합니다. 따라서 Windows 워크스테이션은 필요에 따라 SMB/CIFS를 통해 서버에 연결할 수 있지만 해당 특정 SAMBA 서버의 도메인 구성원은 아닙니다.
중요: SSH 로그인(로컬 Linux 계정) 및 원격 SAMBA 액세스를 위한 사용자 비밀번호는 Samba(smb/cifs를 통해)가 아닌 "passwd" 또는 기타 단일 명령을 통해 사용자가 직접 설정한 동일한 비밀번호를 사용해야 합니다!
저는 SuSE SLES 12 SP4를 기반으로 이를 달성하려고 합니다.
참고: PAM 모듈 "pam_smbpass.so"가 여전히 SAMBA 패키지의 일부일 때 여러 추가 PAM 모듈(예: pam_cracklib, pam_pwhistory 등)과 함께 SLES 11 서버에서 이를 구현했습니다. 하지만 그것은 삼바인 것 같습니다. 어떤 이유로든 ORG는 SAMBA 4 릴리스 중에 pam_smbpass.so를 제거하기로 결정했습니다.
이제 질문은: 주어진 요구 사항에 대해 더 이상 pam_smbpass.so를 사용하지 않고 Linux SSH+SAMBA 시나리오를 다시 빌드/구성하는 방법은 무엇입니까?
pam_winbind.so는 동일한 작업을 수행하지 않는 것 같습니다. 다른 PAM 모듈(예: pam_exec.so)도 해당 작업을 수행할 수 없는 것 같습니다.
지금 내 선택은 무엇입니까?