Автосмена пароля УЗ linux-компьютера в домене
Исходные данные
Сервер Red Hat Enterprise Linux Server release 7.9 (Maipo).
Введен в домен и поддерживает доменную авторизацию с помощью sssd.
Описание проблемы
Для поддержки сквозной NTLM-авторизации в сервере bitrix используются сервисы пакета samba: winbind и smb. По умолчанию, УЗ компьютера имеет срок действия 30 дней. По истечении этого срока, перестает работать авторизация сервисов samba в домене, которые аутентифицируются от имени УЗ компьютера, а именно: DATAFLEX\SPB99-NTC-DS01$ Это проявляется следующей записью в логе:
authenticated session setup to EKB99-DC01.dataflex.local using DATAFLEX\SPB99-NTC-DS01$ failed with NT_STATUS_LOGON_FAILURE
Команда для тестирования членства компьютера в домене выдает следующее сообщение:
net ads testjoin
kerberos_kinit_password SPB99-NTC-DS01$@DATAFLEX.LOCAL failed: Preauthentication failed
Join to domain is not valid: The attempted logon is invalid. This is either due to a bad username or authentication information.
Ситуация исправляется в помощью команды, изменяющей пароль УЗ компьютера. Контроль даты последней смены пароля производится следующей командой:
$ net ads info
LDAP server: 192.168.30.45
LDAP server name: MSK01-DC04.dataflex.local
Realm: DATAFLEX.LOCAL
Bind Path: dc=DATAFLEX,dc=LOCAL
LDAP port: 389
Server time: Вт, 17 янв 2023 16:48:57 MSK
KDC server: 192.168.30.45
Server time offset: 5
Last machine account password change: Вт, 17 янв 2023 15:40:38 MSK
Вопрос: как сделать так, чтобы не надо было вручную ежемесячно сбрасывать пароль от УЗ компьютера?
Решение
Добавил в cron запуск команды один раз в 25 дней.
Опубликовано: 26.01.2024