Good to Know Database

Samba 3: Benutzer-Accounts bei fehlerhaften Login-Versuchen sperren


Mit pdbedit und den Account-Policies können Sie Samba 3 so konfigurieren, dass ein Benutzer-Account automatisch gesperrt wird wenn eine gewisse Anzahl von Login-Versuchen fehlgeschlagen sind.

Die Policy bad lockout attempt legt die maximale Anzahl der fehlgeschlagenen Logins fest. Den aktuellen Wert können Sie durch den folgenden Befehl auslesen. Standardmäßig ist hier der Wert 0 gesetzt, wodurch die Funktion deaktiviert wird.

[root@centos5 ~]# pdbedit -P "bad lockout attempt"
account policy "bad lockout attempt" description: Lockout users after bad logon attempts (default: 0 => off)
account policy "bad lockout attempt" value is: 0

Durch den folgenden Befehl können Sie die Policy auf den Wert 10 setzen. Nach 10 fehlgeschlagenen Anmeldeversuchen wird der jeweilige Benutzer-Account automatisch gesperrt.

[root@centos5 ~]# pdbedit -P "bad lockout attempt" -C 10
account policy "bad lockout attempt" description: Lockout users after bad logon attempts (default: 0 => off)
account policy "bad lockout attempt" value was: 0
account policy "bad lockout attempt" value is now: 10

Die Policy lockout duration legt fest wie lange der Benutzer-Account gesperrt bleiben soll. Standardmäßig werden Benutzer-Accounts 30 Minuten lang gesperrt. Nach dieser Frist wird der Account wieder freigegeben und der Benutzer kann sich wieder mit dem korrekten Passwort anmelden.

[root@centos5 ~]# pdbedit -P "lockout duration"
account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever)
account policy "lockout duration" value is: 30

Um die Sperrdauer auf 15 Minuten zu setzen, rufen Sie den folgenden Befehl auf.

[root@centos5 ~]# pdbedit -P "lockout duration" -C 15
account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever)
account policy "lockout duration" value was: 30
account policy "lockout duration" value is now: 15

Wenn die Policy lockout duration auf den Wert -1 gesetzt wird, wird der Benutzer-Account nicht mehr automatisch freigeschaltet.

[root@centos5 ~]# pdbedit -P "lockout duration" -C -1
account policy "lockout duration" description: Lockout duration in minutes (default: 30, -1 => forever)
account policy "lockout duration" value was: 7
account policy "lockout duration" value is now: 4294967295

Sobald ein Benutzer-Account gesperrt wurde, wird eine Anmeldung am Samba-Server mit der Fehlermeldung NT_STATUS_ACCOUNT_LOCKED_OUT abgelehnt.

georg@ubuntu1104:~$ smbclient -L //server.home.lan -U georg
Enter georg's password:
session setup failed: NT_STATUS_ACCOUNT_LOCKED_OUT

Des Weiteren können Sie mit dem folgenden Befehl feststellen ob ein Benutzer-Account gesperrt ist. Wenn der jeweilige Account (hier georg) gesperrt wurde, ist bei Account Flags das L-Flag (Automatic Locking) gesetzt.

[root@centos5 ~]# pdbedit -Lv georg
Unix username:        georg
NT username:          
Account Flags:        [UL         ]
User SID:             S-1-5-21-1170674419-3655876084-2524437510-1000
Primary Group SID:    S-1-5-21-1170674419-3655876084-2524437510-513
Full Name:            
Home Directory:       \\server\georg
HomeDir Drive:        
Logon Script:        
Profile Path:         \\server\georg\profile
Domain:               SERVER
Account desc:        
Workstations:        
Munged dial:          
Logon time:           0
Logoff time:          never
Kickoff time:         never
Password last set:    Do, 23 Jun 2011 18:55:33 CEST
Password can change:  Do, 23 Jun 2011 18:55:33 CEST
Password must change: Mi, 21 Sep 2011 18:55:33 CEST
Last bad password   : Do, 23 Jun 2011 21:43:23 CEST
Bad password count  : 10
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Um die Sperrung des Benutzer-Accounts wieder aufzuheben, muss das L-Flag gelöscht und der Bad Login Counter zurückgesetzt werden.

Hinweis: Das U-Flag (Regular User Account) sollte beim Aufruf des folgenden Befehls automatisch gesetzt werden.

[root@centos5 ~]# pdbedit -z -c "[]" georg
Unix username:        georg
NT username:          
Account Flags:        [U          ]
User SID:             S-1-5-21-1170674419-3655876084-2524437510-1000
Primary Group SID:    S-1-5-21-1170674419-3655876084-2524437510-513
Full Name:            
Home Directory:       \\server\georg
HomeDir Drive:        
Logon Script:        
Profile Path:         \\server\georg\profile
Domain:               SERVER
Account desc:        
Workstations:        
Munged dial:          
Logon time:           0
Logoff time:          never
Kickoff time:         never
Password last set:    Do, 23 Jun 2011 18:55:33 CEST
Password can change:  Do, 23 Jun 2011 18:55:33 CEST
Password must change: Mi, 21 Sep 2011 18:55:33 CEST
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF


Dieser Eintrag wurde am 24.06.2011 erstellt und zuletzt am 08.01.2014 bearbeitet.

Direkter Link zu dieser Seite: http://www.gtkdb.de/index_33_1324.html

[ Zur Startseite ]   [ Zur Kategorie ]


Valid XHTML 1.0 Transitional Valid CSS Valid Atom 1.0

© 2004-2018 by Georg Kainzbauer