第2回はユーザー管理におけるパスワードポリシー、ドメインの機能レベルの設定、さらに操作マスターの移動方法について解説する。
(2-1)パスワードポリシー
ユーザー管理では、パスワードポリシーについて理解しておく必要がある。そこで、Samba 4におけるパスワードポリシーについて説明しておく。
パスワードポリシーについては、Windows Active Directory Domain Controller(以下AD DC)の他の管理項目と同様に、グループポリシー*1に設定項目が存在する。しかし、現状のSamba 4ではその設定項目を利用できない。別途、samba-toolコマンドを使ってパスワードポリシーを管理する必要がある。
*1 Active Directoryで導入された、レジストリーやセキュリティ、ソフトウエア配布、スタートアップのスクリプト、フォルダーのリダイレクトなどの設定を統一管理する仕組み。コンピュータのローカル、Active Directoryのサイトやドメインなどにポリシーを階層的に割り当てられる。例えば、組織単位にアプリケーションを登録しておけば、その組織単位に所属するユーザーのマシンには自動的にアプリケーションが導入される。同様に、その組織単位のユーザーが勝手な操作をしないよう「コントロール・パネルの使用を禁止する」といったデスクトップ操作の制限も設定できる。
Samba 4で設定できるパスワードポリシーの設定項目を、表1に示した。現状、パスワードポリシーがどのように設定されているかを確認するには、Samba 4が動作するサーバーの端末で図3のように入力すればよい。また、ポリシーを変更する、すなわち設定されている値を変更するには、端末で図4のように指定すればよい。
表1●Samba 4で設定できるパスワードポリシーの項目
| 項目 | ポリシーの内容 | 初期値 |
|---|---|---|
| Password complexity | パスワードの複雑性 | on |
| Store plaintext passwords | 暗号化を元に戻せる状態でパスワードを保存 | off |
| Password history length | パスワードの履歴保持 | 24 |
| Minimum password length | パスワードの長さ | 7 |
| Minimum password age(days) | パスワードの変更禁止期間(日) | 1 |
| Maximum password age(days) | パスワードの有効期間(日) | 42 |
図3●現状のパスワードポリシーを確認する方法
[画像のクリックで拡大表示]
図4●パスワードポリシーを変更する方法
[画像のクリックで拡大表示]
