sábado, 16 de mayo de 2015

Administrando la complejidad de las contraseñas en un Samba4 AD DC

Aunque es un fastidio para los usuarios, la complejidad sus contraseñas en un Dominio de Active Directory es un tema vital en la seguridad del mismo. Recordemos que venimos de una cultura en la que la regla del mínimo esfuerzo impera, y las contraseñas no escapan de su alcance. Un ejemplo de ello es la lista de las peores contraseñas de todos los tiempos, publicada en Dragonjar, la cual habla por sí misma.

Al configurar un AD DC con Samba 4 en GNU/Linux, por defecto viene establecida la complejidad de las contraseñas, pero podemos cambiarla y ajustarla usando el comando samba-tool.
[root@sambapdc01 ~]# samba-tool domain passwordsettings show
Password informations for domain 'DC=fcld,DC=local'

Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

En lo adelante podemos usar opciones del comando samba-tool domain passwordsettings set, las cuales podemos visualizar con la opción --help.
[root@sambapdc01 ~]# samba-tool domain passwordsettings set --help
...
...
  --complexity=COMPLEXITY
                        The password complexity (on | off | default). Default
                        is 'on'
  --store-plaintext=STORE_PLAINTEXT
                        Store plaintext passwords where account have 'store
                        passwords with reversible encryption' set (on | off |
                        default). Default is 'off'
  --history-length=HISTORY_LENGTH
                        The password history length ( | default).
                        Default is 24.
  --min-pwd-length=MIN_PWD_LENGTH
                        The minimum password length ( | default).
                        Default is 7.
  --min-pwd-age=MIN_PWD_AGE
                        The minimum password age ( |
                        default).  Default is 1.
  --max-pwd-age=MAX_PWD_AGE
                        The maximum password age ( |
                        default).  Default is 43.
  --account-lockout-duration=ACCOUNT_LOCKOUT_DURATION
                        The the length of time an account is locked out after
                        exeeding the limit on bad password attempts ( | default).  Default is 30 mins.
  --account-lockout-threshold=ACCOUNT_LOCKOUT_THRESHOLD
                        The number of bad password attempts allowed before
                        locking out the account ( | default).
                        Default is 0 (never lock out).
  --reset-account-lockout-after=RESET_ACCOUNT_LOCKOUT_AFTER
                        After this time is elapsed, the recorded number of
                        attempts restarts from zero ( | default).
                        Default is 30.
...
...

De ahora en adelante podemos configurar estos parámetros con los valores deseados que se ajusten a nuestro entorno, trabajando conjuntamente con los usuarios haciéndolos conscientes de la importancia que tiene una contraseña compleja para su perfil y el dominio en general.
Posted by at
Labels: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)