PR

 第2回はユーザー管理におけるパスワードポリシー、ドメインの機能レベルの設定、さらに操作マスターの移動方法について解説する。

(2-1)パスワードポリシー

 ユーザー管理では、パスワードポリシーについて理解しておく必要がある。そこで、Samba 4におけるパスワードポリシーについて説明しておく。

 パスワードポリシーについては、Windows Active Directory Domain Controller(以下AD DC)の他の管理項目と同様に、グループポリシー*1に設定項目が存在する。しかし、現状のSamba 4ではその設定項目を利用できない。別途、samba-toolコマンドを使ってパスワードポリシーを管理する必要がある。

*1 Active Directoryで導入された、レジストリーやセキュリティ、ソフトウエア配布、スタートアップのスクリプト、フォルダーのリダイレクトなどの設定を統一管理する仕組み。コンピュータのローカル、Active Directoryのサイトやドメインなどにポリシーを階層的に割り当てられる。例えば、組織単位にアプリケーションを登録しておけば、その組織単位に所属するユーザーのマシンには自動的にアプリケーションが導入される。同様に、その組織単位のユーザーが勝手な操作をしないよう「コントロール・パネルの使用を禁止する」といったデスクトップ操作の制限も設定できる。

 Samba 4で設定できるパスワードポリシーの設定項目を、表1に示した。現状、パスワードポリシーがどのように設定されているかを確認するには、Samba 4が動作するサーバーの端末で図3のように入力すればよい。また、ポリシーを変更する、すなわち設定されている値を変更するには、端末で図4のように指定すればよい。

表1●Samba 4で設定できるパスワードポリシーの項目
項目 ポリシーの内容 初期値
Password complexity パスワードの複雑性 on
Store plaintext passwords 暗号化を元に戻せる状態でパスワードを保存 off
Password history length パスワードの履歴保持 24
Minimum password length パスワードの長さ 7
Minimum password age(days) パスワードの変更禁止期間(日) 1
Maximum password age(days) パスワードの有効期間(日) 42
図3●現状のパスワードポリシーを確認する方法
図3●現状のパスワードポリシーを確認する方法
[画像のクリックで拡大表示]
図4●パスワードポリシーを変更する方法
図4●パスワードポリシーを変更する方法
[画像のクリックで拡大表示]