Управление групповыми политиками безопасности и аудита

Назначение групповых политик безопасности и аудита — управление атрибутами политики паролей, политики блокировки учетных записей, политики Kerberos, политики аудита и политики KDC (Key Distribution Center) на контроллерах домена Эллес, а также параметрами безопасности, которые управляют сменой пароля машинной учетной записи на контроллерах домена Эллес. На рядовых участниках домена данные политики и параметры автоматически отключаются и игнорируются.

Настройки, применяемые в рамках политик и параметров безопасности, хранятся в файле MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf в подкаталоге соответствующего объекта GPO в SysVol в формате ini. Настройки подкатегорий событий в рамках расширенной политики аудита хранятся в файле MACHINE/Microsoft/Windows NT/Audit/Audit.csv.

Серверное расширение (SSE) для политик и параметров безопасности распространяется в виде административного шаблона в формате ADMX (см. подраздел «Установка административных шаблонов на контроллере домена»).

Клиентские расширения (CSE) для политик и параметров безопасности — gp_access_ext, gp_krb_ext, gp_reg_conf_ext, gp_audit_ext и gp_kdc_ext. Политики паролей и блокировки учетных записей (System Access) обеспечивают применение правил использования паролей и блокировки учетных записей через соответствующие атрибуты LDAP непосредственно в базе данных Эллес на контроллере домена. Политика KDC управляет поддержкой расширения PKINIT Freshness. Политики Kerberos (Kerberos Policy) хранятся в кэше групповых политик и загружаются непосредственно службой inno-samba при запуске. Параметры безопасности обеспечивают установку конфигурационных параметров Эллес, отвечающих за смену пароля машинной учетной записи контроллера домена.

В Табл. 1 приведено соответствие атрибутов групповой политики настройкам в редакторе групповых политик Group Policy Management Editor (GPME) в составе RSAT на участнике домена под управлением ОС Windows и атрибутам LDAP / настройкам в конфигурации Эллес.

Табл. 1. Соответствие между атрибутами, параметрами и настройками
Настройка в GPME	Атрибут/параметр в CSE	Атрибут LDAP / настройка в smb.conf	Описание
Политика паролей (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Account Policies/Политики учетных записей → Password Policy → Политика паролей)
Enforce password history (Вести журнал паролей)	`PasswordHistorySize`	`pwdHistoryLength`	Количество новых уникальных паролей, по достижении которого для учетной записи может повторно использоваться введенный ранее пароль
Maximum password age (Максимальный срок действия пароля)	`MaximumPasswordAge`	`maxPwdAge`	Максимальный срок использования пароля до его смены (в днях)
Minimum password age (Минимальный срок действия пароля)	`MinimumPasswordAge`	`minPwdAge`	Минимальный срок использования пароля до его смены (в днях)
Minimum password length (Минимальная длина пароля)	`MinimumPasswordLength`	`minPwdLength`	Минимальная длина пароля
Password must meet complexity requirements (Пароль должен отвечать требованиям сложности)	`PasswordComplexity`	`pwdProperties`	Соответствие требованиям к сложности пароля
Политика блокировки учетных записей (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Account Policies/Политики учетных записей → Account Lockout Policy → Политика блокировки учетных записей)
Account lockout duration (Продолжительность блокировки учетной записи)	`LockoutDuration`	`lockoutDuration`	Продолжительность блокировки учетной записи (в минутах)
Account lockout threshold (Пороговое значение блокировки)	`LockoutBadCount`	`lockoutThreshold`	Количество неуспешных попыток входа до блокировки учетной записи
Reset account lockout counter after (Время до сброса счетчика блокировки)	`ResetLockoutCount`	`lockOutObservationWindow`	Время до сброса счетчика неуспешных попыток входа (в минутах)
Политика Kerberos (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Account Policies/Политики учетных записей → Kerberos Policy → Политика Kerberos)
Maximum lifetime for service ticket (Максимальный срок жизни билета службы)	`MaxServiceAge`	`kdc:service_ticket_lifetime`	Максимальный период действия сервисного билета для аутентификации Kerberos (в минутах)
Maximum lifetime for user ticket (Максимальный срок жизни билета пользователя)	`MaxTicketAge`	`kdc:user_ticket_lifetime`	Максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах)
Maximum lifetime for user ticket renewal (Максимальный срок жизни для возобновления билета пользователя)	`MaxRenewAge`	`kdc:renewal_lifetime`	Максимальный период, в течение которого может быть возобновлен TGT-билет пользователя для аутентификации Kerberos (в днях)
Параметры безопасности (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Local Policies/Локальные политики → Security Options/Параметры безопасности)
Maximum tolerance for computer clock synchronization (Максимальная погрешность синхронизации часов компьютера)	`MaxClockSkew`	`kdc:clock_skew`	Максимальная допустимая разница между временем на клиентских компьютерах и временем на контроллере домена для аутентификации Kerberos (в минутах)
Параметры безопасности (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Local Policies/Локальные политики → Security Options/Параметры безопасности)
Domain member: Disable machine account password changes (Член домена: отключить изменение пароля учетных записей компьютера)	`DomainMember:DisablePasswordChange`	`dcpwd:disable password change`	Отключение автоматического обновления пароля машинной учетной записи контроллера домена
Domain member: Maximum machine account password age (Член домена: максимальный срок действия пароля учетной записи компьютера)	`DomainMember:MaximumPasswordAge`	`dcpwd:machine password maximum age`	Период действия пароля машинной учетной записи контроллера домена в днях
Net Logon (путь в GPME: Computer Configuration/Конфигурация компьютера → Administrative Templates/Административные шаблоны → System/Система → Net Logon → Set scavenge interval/Установка интервала очистки)
Set scavenge interval (Установка интервала очистки)	`DomainMember:ScavengeInterval`	`mtsrv:run_interval_update_dc_password`	Периодичность запуска проверки необходимости обновления пароля машинной учетной записи контроллера домена в секундах
Политика аудита (путь в GPME: Computer Configuration/Конфигурация компьютера > Policies/Политики > Windows Settings/Конфигурация Windows > Security Settings/Параметры безопасности > Local Policies/Локальные политики > Audit Policy/Политика аудита)
Audit account logon events (Аудит событий входа в систему)	`AuditAccountLogon`	`audit:account_logon`	Регистрация событий, связанных с попытками входа пользователей в систему. Позволяет отслеживать успешные и неудачные попытки входа
Конфигурация расширенной политики аудита (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Windows Settings/Конфигурация Windows → Security Settings/Параметры безопасности → Advanced Audit Policy Configuration/Конфигурация расширенной политики аудита → Audit Policies / Политики аудита)
Доступ к службе каталогов (DS) (DS Access)
Audit Directory Service Access (Аудит доступа к службе каталогов)	`AuditDirectoryServiceAccess`	`advanced_audit:directory_service_access`	Регистрация событий, связанных с попытками доступа к объектам службы каталогов
Audit Directory Service Changes (Аудит изменения службы каталогов)	`AuditDirectoryServiceChanges`	`advanced_audit:directory_service_changes`	Регистрация событий, связанных с фактическими изменениями объектов службы каталогов, включая создание, удаление, восстановление, перемещение и изменение их атрибутов
Audit Directory Service Replication (Аудит репликации службы каталогов)	`AuditDirectoryServiceReplication`	`advanced_audit:directory_service_replication`	Регистрация событий, связанных с началом и завершением операций репликации данных между контроллерами домена
Audit Detailed Directory Service Replication (Аудит подробной репликации службы каталогов)	`AuditDetailedDirectoryServiceReplication`	`advanced_audit:detailed_directory_service_replication`	Регистрация событий, связанных с низкоуровневыми операциями репликации, включая доступ к конкретным объектам и атрибутам в процессе репликации
Управление учетными записями (Audit Account Management)
Audit Application Group Management (Аудит управления группами приложений)	`AuditApplicationGroupManagement`	`advanced_audit:application_group_management`	Регистрация событий, связанных с изменениями в специальных группах приложений (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.)
Audit Computer Account Management (Аудит управления учетными записями компьютеров)	`AuditComputerAccountManagement`	`advanced_audit:computer_account_management`	Регистрация событий, связанных с изменениями в учетных записях компьютеров (создание, изменение, удаление, включение и отключение, сброс пароля и т. д.)
Audit Distribution Group Management (Аудит управления группами распространения)	`AuditDistributionGroupManagement`	`advanced_audit:distribution_group_management`	Регистрация событий, связанных с изменениями в группах распространения (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.)
Audit Security Group Management (Аудит управления группами безопасности)	`AuditSecurityGroupManagement`	`advanced_audit:security_group_management`	Регистрация событий, связанных с изменениями в группах безопасности (создание, изменение, изменение, переименование, добавление и удаление участников и т. д.)
Audit User Account Management (Аудит управления учетными записями пользователей)	`AuditUserAccountManagement`	`advanced_audit:user_account_management`	Регистрация событий, связанных с изменениями в учетных записях пользователей (создание, изменение, удаление, блокировка, изменение паролей и участия в группах и т. д.)
Audit Other Account Management Events (Аудит других событий управления учетными записями)	`AuditOtherAccountManagementEvents`	`advanced_audit:other_account_management_events`	Регистрация событий, связанных с изменениями в учетных записях, которые не попадают в основные подкатегории (например, изменение хешей паролей)
Политика KDC (путь в GPME: Computer Configuration/Конфигурация компьютера → Policies/Политики → Administrative Templates/Административные шаблоны → System/Система → KDC/KDC)
KDC support for PKInit Freshness Extension	`PKInitFreshness`	`kdc:pkinit_freshness`	Поддержка расширения PKINIT Freshness. Соответствует ключу реестра `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters\PKINITFreshness` в Active Directory и параметру в конфигурации Kerberos `pkinit_require_freshness`. См. также примечание о приоритетности применения данной настройки по сравнению с конфигурацией в krb5.conf и параметром `kdc:pkinit_freshness` в smb.conf

Добавление групповой политики

Для задания или изменения настроек политик паролей, блокировки учетных записей, Kerberos, аудита или смены пароля машинной учетной записи контроллера домена с помощью групповой политики используется следующий формат вызова:

samba-tool gpo manage security set <gpo> <setting> <value> [options]

В качестве значения gpo ожидается GUID требуемого объекта групповой политики. Для получения GUID может использоваться подкоманда samba-tool gpo listall.

Для установки определенного значения укажите его (value) после названия настройки (setting). Чтобы сбросить установленное ранее значение, передайте только название настройки без значения.

Поддерживаются следующие настройки:

атрибуты политики паролей:
- MinimumPasswordAge — минимальный срок использования пароля до его смены (в днях);
  Возможные значения:
  
  0 — пароль может быть сменен сразу после его установки;
  
  1–998 — пароль может быть сменен через указанное количество дней.
  
  Дополнительные условия:
  
  если MaximumPasswordAge больше 0, значение MinimumPasswordAge должно быть меньше его;
  
  если значение MaximumPasswordAge равно 0, параметр MinimumPasswordAge может иметь любое значение в рамках допустимого диапазона.
- MaximumPasswordAge — максимальный срок использования пароля до его смены (в днях);
  Возможные значения:
  
  0 — срок действия пароля неограничен;
  
  1–999 — срок действия пароля в днях.
- MinimumPasswordLength — минимальная длина пароля;
  Возможные значения:
  
  0 — пароль не требуется;
  
  1–14 — минимальное количество символов в пароле.
- PasswordComplexity — соответствие требованиям к сложности пароля;
  Возможные значения:
  
  on|1 (соответствует Enabled/Включен в GPME) — пароль должен соответствовать следующим требованиям:
  
  не содержит полностью значение атрибута samAccountName или displayName учетной записи (без учета регистра);
  
  содержит символы как минимум из трех из следующих категорий:
  
  прописные буквы;
  
  строчные буквы;
  
  цифры от 0 до 9;
  
  специальные символы ~!@#$%^&*_-+=`\|\()\{}[]:;"'<>,.?/
  
  символы Unicode, классифицируемые как буквенно-цифровые, но не имеющие регистра.
  
  off|0 (соответствует Disabled/Отключен в GPME) — пароль может не соответствовать требованиям к сложности.
- PasswordHistorySize — количество уникальных новых паролей, которое должно смениться после использования определенного пароля, чтобы его можно было установить для учетной записи повторно;
  Возможные значения:
  
  0 — один и тот же пароль может использоваться многократно без ограничений;
  
  1-24 — количество смен пароля перед тем, как его можно будет использовать повторно.
атрибуты политики блокировки учетных записей:
- LockoutBadCount — количество неуспешных попыток входа до блокировки учетной записи;
  Возможные значения:
  
  0 — учетная запись не блокируется;
  
  1-999 — количество неуспешных попыток входа, по достижении которого учетная запись блокируется.
  
  Если LockoutBadCount больше 0, значение атрибута LockoutDuration должно быть больше значения атрибута ResetLockoutCount или равно ему.
- LockoutDuration — продолжительность блокировки учетной записи (в минутах);
  Возможные значения:
  
  0 — учетная запись блокируется до тех пор, пока она не будет разблокирована вручную администратором;
  
  1-99999 — период в минутах, в течение которого учетная запись будет заблокирована перед автоматической разблокировкой.
  
  Если LockoutBadCount больше 0, значение атрибута LockoutDuration должно быть больше значения атрибута ResetLockoutCount или равно ему.
- ResetLockoutCount — время до сброса счетчика неуспешных попыток входа (в минутах);
  
  Возможные значения — 1-999 (минуты).
  
  Если LockoutBadCount больше 0, значение атрибута ResetLockoutCount должно быть меньше значения атрибута LockoutDuration или равно ему.
атрибуты политики Kerberos:
- MaxRenewAge — максимальный период, в течение которого может быть возобновлен TGT-билет пользователя для аутентификации Kerberos (в днях);
  
  Возможные значения:
  - 0 — неограниченный период действия билета;
  - 1-999 — период для возобновления билета в днях.
- MaxServiceAge — максимальный период действия сервисного билета для аутентификации Kerberos (в минутах);
  Возможные значения:
  
  0 — неограниченный период действия билета;
  
  10-999 — период действия билета в минутах.
  
  Значение MaxServiceAge должно быть больше 10 минут, а также — меньше значения атрибута MaxTicketAge или равно ему.
  
  По истечении срока действия сервисного билета необходимо возобновить существующий билет или запросить новый.
- MaxTicketAge — максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах);
  Возможные значения:
  
  0 — неограниченный период действия билета;
  
  1-999 — период действия билета в часах.
  
  По истечении срока действия билета TGT необходимо возобновить существующий билет или запросить новый.
- MaxClockSkew — максимальная допустимая разница между временем на клиентских компьютерах и временем на контроллере домена для аутентификации Kerberos (в минутах);
  
  Возможный диапазон значений: от 1 минуты до 999 минут.
параметры смены пароля машинной учетной записи контроллера домена:
- DomainMember:DisablePasswordChange — отключение автоматического обновления пароля машинной учетной записи контроллера домена;
  Возможные значения:
  
  1 — автоматическое обновление отключено;
  
  0 — автоматическое обновление включено.
- DomainMember:MaximumPasswordAge — период действия пароля машинной учетной записи контроллера домена (в днях);
  
  Возможный диапазон значений: от 1 дня до 999 дней.
- DomainMember:ScavengeInterval — периодичность запуска проверки необходимости обновления пароля машинной учетной записи контроллера домена (в секундах).
  
  Возможный диапазон значений: от 1 до 86400 секунд.
параметры аудита:
- AuditAccountLogon — регистрация событий, связанных с попытками входа пользователей в систему;
  
  Возможные значения:
  - none|0 — подавление регистрации успешных и неуспешных событий;
  - success|1 — регистрация только успешных попыток входа пользователей в систему;
  - failure|2 — регистрация только неуспешных попыток входа пользователей в систему;
  - all|3 — регистрация успешных и неуспешных попыток входа пользователей в систему.

параметры расширенной политики аудита:

доступ к службе каталогов (DS):

AuditDirectoryServiceAccess — регистрация событий, связанных с попытками доступа к объектам службы каталогов;

В текущей версии Эллес в рамках подкатегории реализован вывод для события аудита Windows 4662 («Выполнена операция над объектом» / "An operation was performed on an object").

AuditDirectoryServiceChanges — регистрация событий, связанных с фактическими изменениями объектов службы каталогов, включая создание, удаление, восстановление, перемещение и изменение их атрибутов;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.
AuditDirectoryServiceReplication — регистрация событий, связанных с началом и завершением операций репликации данных между контроллерами домена;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.
AuditDetailedDirectoryServiceReplication — регистрация событий, связанных с низкоуровневыми операциями репликации, включая доступ к конкретным объектам и атрибутам в процессе репликации;

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

Возможные значения:

none|0 — подавление регистрации успешных и неуспешных событий;
success|1 — регистрация только успешных попыток доступа к службе каталогов;
failure|2 — регистрация только неуспешных попыток доступа к службе каталогов;
all|3 — регистрация успешных и неуспешных попыток доступа к службе каталогов.

управление учетными записями:

AuditApplicationGroupManagement — регистрация событий, связанных с изменениями в специальных группах приложений (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

AuditComputerAccountManagement — регистрация событий, связанных с изменениями в учетных записях компьютеров (создание, изменение, удаление, включение и отключение, сброс пароля и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4741 («Создана учетная запись компьютера» / "A computer account was created");
4742 («Изменена учетная запись компьютера» / "A computer account was changed");
4743 («Удалена учетная запись компьютера» / "A computer account was deleted").

AuditDistributionGroupManagement — регистрация событий, связанных с изменениями в группах распространения (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4744 («Создана локальная группа с отключенной проверкой безопасности» / "A security-disabled local group was created");
4745 («Изменена локальная группа с отключенной проверкой безопасности» / "A security-disabled local group was changed");
4746 («Добавлен пользователь к локальной группе с отключенной проверкой безопасности» / "A member was added to a security-disabled local group");
4747 («Удален пользователь из локальной группы с отключенной проверкой безопасности» / "A member was removed from a security-disabled local group");
4748 («Удалена локальная группа с отключенной проверкой безопасности» / "A security-disabled local group was deleted");
4749 («Создана глобальная группа с отключенной проверкой безопасности» / "A security-disabled global group was created");
4750 («Изменена глобальная группа с отключенной проверкой безопасности» / "A security-disabled global group was changed");
4751 («Добавлен пользователь к глобальной группе с отключенной проверкой безопасности» / "A member was added to a security-disabled global group");
4752 («Удален пользователь из глобальной группы с отключенной проверкой безопасности» / "A member was removed from a security-disabled global group");
4753 («Удалена глобальная группа с отключенной проверкой безопасности» / "A security-disabled global group was deleted");
4759 («Создана универсальная группа с отключенной проверкой безопасности» / "A security-disabled universal group was created");
4760 («Изменена универсальная группа с отключенной проверкой безопасности» / "A security-disabled universal group was changed");
4761 («Член добавлен к универсальной группы с отключенной проверкой безопасности» / "A member was added to a security-disabled universal group");
4762 («Удален пользователь из универсальной группы с отключенной проверкой безопасности» / "A member was removed from a security-disabled universal group");
4764 («Изменен тип группы» / "A group’s type was changed").

AuditSecurityGroupManagement — регистрация событий, связанных с изменениями в группах безопасности (создание, изменение, изменение, переименование, добавление и удаление участников и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4727 («Создана глобальная группа с включенной безопасностью» / "A security-enabled global group was created");
4728 («Добавлен пользователь к глобальной группе с включенной безопасностью» / "A member was added to a security-enabled global group");
4729 («Удален пользователь из глобальной группы с включенной безопасностью» / "A member was removed from a security-enabled global group");
4730 («Удалена глобальная группа с включенной безопасностью» / "A security-enabled global group was deleted");
4731 («Создана локальная группа с включенной безопасностью» / "A security-enabled local group was created");
4732 («Добавлен пользователь в локальную группу с включенной безопасностью» / "A member was added to a security-enabled local group");
4733 («Удален пользователь из локальной группы с включенной безопасностью» / "A member was removed from a security-enabled local group");
4734 («Удалена локальная группа с включенной безопасностью» / "A security-enabled local group was deleted");
4735 («Изменена локальная группа с включенной безопасностью» / "A security-enabled local group was changed");
4737 («Изменена глобальная группа с включенной безопасностью» / "A security-enabled global group was changed");
4754 («Создана универсальная группа с включенной безопасностью» / "A security-enabled universal group was created");
4755 («Изменена универсальная группа с включенной безопасностью» / "A security-enabled universal group was changed");
4756 («Добавлен пользователь к универсальной группе с включенной безопасностью» / "A member was added to a security-enabled universal group");
4757 («Удален пользователь из универсальной группы с включенной безопасностью» / "A member was removed from a security-enabled universal group");
4758 («Удалена универсальная группа с включенной безопасностью» / "A security-enabled universal group was deleted");
4764 («Изменен тип группы» / "A group’s type was changed").

AuditUserAccountManagement — регистрация событий, связанных с изменениями в учетных записях пользователей (создание, изменение, удаление, блокировка, изменение паролей и участия в группах и т. д.);

В текущей версии Эллес в рамках подкатегории реализован вывод для событий аудита Windows:

4720 («Учетная запись пользователя создана» / "A user account was created");
4723 («Изменен пароль учетной записи» / "An attempt was made to change an account’s password");
4724 («Сброс пароля пользователя» / "An attempt was made to reset an account’s password");
4726 («Учетная запись пользователя удалена» / "A user account was deleted");
4738 («Изменена учетная запись пользователя» / "A user account was changed");
4740 («Учетная запись пользователя заблокирована» / "A user account was locked out").

AuditOtherAccountManagementEvents — регистрация событий, связанных с изменениями в учетных записях, которые не попадают в основные подкатегории (например, изменение хешей паролей);

В текущей версии Эллес вывод событий аудита для данной подкатегории не реализован.

Возможные значения:

none|0 — подавление регистрации успешных и неуспешных событий;
success|1 — регистрация только успешных попыток управления учетной записью;
failure|2 — регистрация только неуспешных попыток управления учетной записью;
all|3 — регистрация успешных и неуспешных попыток управления учетной записью.

атрибуты политики KDC:

PKInitFreshness — режим поддержки расширения PKINIT Freshness.

Возможные значения:

-1 (по умолчанию) — атрибут не установлен (режим Not Configured; используется значение параметра pkinit_require_freshness из системной конфигурации Kerberos в файле /etc/krb5.conf);

Поскольку по умолчанию pkinit_require_freshness = false, без дополнительной настройки сервер KDC на контроллере домена Эллес будет работать в режиме поддержки расширения PKINIT Freshness (режим Supported). В этом режиме KDC генерирует подтверждающий актуальность запроса токен (freshness token), но не требует его наличия в ответе от клиента:

если клиент поддерживает расширение PKINIT Freshness, он вернет токен в ответном запросе, и KDC проверит его корректность;
если клиент не поддерживает расширение PKINIT Freshness и не вернет токен, сервер KDC обработает запрос штатно, без ошибки.

0 — расширение PKINIT Freshness отключено (режим Disabled);

KDC не формирует и не отправляет клиенту freshness token и не ожидает его в последующем PKINIT-запросе.
1 — расширение PKINIT Freshness включено, но его использование не является обязательным (режим Supported);

KDC генерирует и отправляет клиенту freshness token:
- если клиент поддерживает расширение PKINIT Freshness, он вернет токен в ответном запросе, и KDC проверит его корректность;
- если клиент не поддерживает расширение PKINIT Freshness и не вернет токен, сервер KDC обработает запрос штатно, без ошибки.
2 — расширение PKINIT Freshness включено и его использование является обязательным (режим Required).

KDC отправляет клиенту freshness token и требует его возврата:
- если клиент поддерживает расширение PKINIT Freshness, он вернет токен в ответном запросе, и KDC проверит его корректность;
- если клиент не поддерживает расширение PKINIT Freshness или не включит токен в ответный запрос, KDC отклонит запрос и вернет ошибку.

Настройка PKInitFreshness, заданная в объекте групповой политики (GPO), имеет более высокий приоритет по сравнению с параметрами, указанными в файлах smb.conf и krb5.conf. При обновлении политик (например, при выполнении samba-gpupdate) значение, определенное в GPO, автоматически применяется на контроллере домена и записывается в параметр kdc:pkinit_freshness в smb.conf.

Если после применения групповой политики администратор вручную изменит kdc:pkinit_freshness в smb.conf, то эта локальная настройка будет иметь приоритет на данном контроллере домена, но будет переопределена при следующем изменении значения в GPO и вызове утилиты samba-gpupdate.

Настройки, указанные в krb5.conf, имеют более низкий приоритет и используются только при отсутствии значений в GPO и smb.conf.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример задания максимального периода действия TGT-билета с помощью групповой политики:

Добавьте атрибут MaxTicketAge с требуемым значением в объект GPO (в примере используется Default Domain Policy):
```
samba-tool gpo manage security set {31B2F340-016D-11D2-945F-00C04FB984F9} \
   MaxTicketAge 10
```

Для проверки доступности политики на машине с ролью server role = active directory domain controller используйте утилиту samba-gpupdate:

sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Policy
=================================================================
  CSE: gp_krb_ext
  -----------------------------------------------------------
    Policy Type: Kerberos Policy
    -----------------------------------------------------------
    [ MaxTicketAge ] = 10
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

Обновите политики на машине:
```
sudo /app/inno-samba/sbin/samba-gpupdate --force
```
Для проверки применения политики, например, используйте инструмент для работы с БД:
```
sudo tdbdump /app/inno-samba/var/cache/gpo.tdb \
 -k 'kdc:user_ticket_lifetime'; echo
10
```

Пример изменения периодичности смены пароля машинной учетной записи контроллера домена (DC2 в примере):

Добавьте параметр DomainMember:MaximumPasswordAge с требуемым значением в объект GPO (в примере используется Default Domain Controller Policy):
```
samba-tool gpo manage security set {6AC1786C-016F-11D2-945F-00C04fB984F9} \
   'DomainMember:MaximumPasswordAge' 25
```

sudo /app/inno-samba/sbin/samba-gpupdate --rsop
Resultant Set of Policy
Computer Policy

GPO: Default Domain Controller Policy
=================================================================
  CSE: gp_reg_conf_ext
  -----------------------------------------------------------
    Policy Type: Registry Values
    -----------------------------------------------------------
    [ DomainMember:MaximumPasswordAge ] = 25
    -----------------------------------------------------------
  -----------------------------------------------------------
=================================================================

Обновите политики на машине:
```
sudo /app/inno-samba/sbin/samba-gpupdate --force
```

Для проверки применения политики по истечении установленного периода проверьте значение атрибута pwdLastSet контроллера домена:

ldbsearch -H ldap://DC2.elles.inno.tech -b "CN=DC2,OU=Domain Controllers,DC=elles,DC=inno,DC=tech -s base pwdLastSet --use-kerberos=required \
| sed -ne 's/^pwdLastSet: //p' \
| awk '{dat=($0/10000000)-11644473600;print strftime("%c",dat)}'

Получение информации о групповой политике

Для получения информации об объекте GPO, задающем настройки политики паролей, блокировки учетных записей, Kerberos, аудита или смены пароля машинной учетной записи контроллера домена, в SysVol используется следующий формат вызова:

samba-tool gpo manage security list <gpo> [options]

Подкоманда выводит список настроек, установленных в объекте GPO.

В выводе подкоманды могут содержаться следующие настройки:

атрибуты политики паролей:
- MinimumPasswordAge — минимальный срок использования пароля до его смены (в днях);
- MaximumPasswordAge — максимальный срок использования пароля до его смены (в днях);
- MinimumPasswordLength — минимальная длина пароля;
- PasswordComplexity — соответствие требованиям к сложности пароля;
- PasswordHistorySize — количество уникальных новых паролей, которое должно смениться после использования определенного пароля, чтобы его можно было установить для учетной записи повторно;
атрибуты политики блокировки учетных записей:
- LockoutBadCount — количество неуспешных попыток входа до блокировки учетной записи;
- LockoutDuration — продолжительность блокировки учетной записи (в минутах);
- ResetLockoutCount — время до сброса счетчика неуспешных попыток входа (в минутах);
атрибуты политики Kerberos:
- MaxRenewAge — максимальный период, в течение которого может быть возобновлен TGT-билет пользователя для аутентификации Kerberos (в днях);
- MaxServiceAge — максимальный период действия сервисного билета для аутентификации Kerberos (в минутах);
- MaxTicketAge — максимальный период действия выданного пользователю TGT-билета для аутентификации Kerberos (в часах);
- MaxClockSkew — максимальная допустимая разница между временем на клиентских компьютерах и временем на контроллере домена для аутентификации Kerberos (в минутах);
параметры смены пароля машинной учетной записи контроллера домена:
- DomainMember:DisablePasswordChange — отключение автоматического обновления пароля машинной учетной записи контроллера домена;
- DomainMember:MaximumPasswordAge — период действия пароля машинной учетной записи контроллера домена (в днях);
- DomainMember:ScavengeInterval — периодичность запуска проверки необходимости обновления пароля машинной учетной записи контроллера домена (в секундах);
параметры аудита:
- AuditAccountLogon — регистрация событий, связанных с попытками входа пользователей в систему;
параметры расширенной политики аудита:
- доступ к службе каталогов (DS):
  - AuditDirectoryServiceAccess — регистрация событий, связанных с попытками доступа к объектам службы каталогов;
  - AuditDirectoryServiceChanges — регистрация событий, связанных с фактическими изменениями объектов службы каталогов, включая создание, удаление, восстановление, перемещение и изменение их атрибутов;
  - AuditDirectoryServiceReplication — регистрация событий, связанных с началом и завершением операций репликации данных между контроллерами домена;
  - AuditDetailedDirectoryServiceReplication — регистрация событий, связанных с низкоуровневыми операциями репликации, включая доступ к конкретным объектам и атрибутам в процессе репликации;
- управление учетными записями:
  - AuditApplicationGroupManagement — регистрация событий, связанных с изменениями в специальных группах приложений (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);
  - AuditComputerAccountManagement — регистрация событий, связанных с изменениями в учетных записях компьютеров (создание, изменение, удаление, включение и отключение, сброс пароля и т. д.);
  - AuditDistributionGroupManagement — регистрация событий, связанных с изменениями в группах распространения (создание, изменение, удаление, переименование, добавление и удаление участников и т. д.);
  - AuditSecurityGroupManagement — регистрация событий, связанных с изменениями в группах безопасности (создание, изменение, изменение, переименование, добавление и удаление участников и т. д.);
  - AuditUserAccountManagement — регистрация событий, связанных с изменениями в учетных записях пользователей (создание, изменение, удаление, блокировка, изменение паролей и участия в группах и т. д.);
  - AuditOtherAccountManagementEvents — регистрация событий, связанных с изменениями в учетных записях, которые не попадают в основные подкатегории (например, изменение хешей паролей);

атрибуты политики KDC:
- PKInitFreshness — режим поддержки расширения PKINIT Freshness.

Параметры

Параметры вызова:

-H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример получения настроек, применяемых в рамках групповой политики безопасности:

samba-tool gpo manage security list {31B2F340-016D-11D2-945F-00C04FB984F9}
MaxTicketAge = 10