(trabalho em andamento, adicionarei detalhes mais tarde)
Boas notícias a todos! Eu tenho a coisa toda funcionando, mais ou menos ..., em um ambiente de testes ...:
- A política de senha (com qualidade e tempo) é aplicada no nível do OpenLDAP (graças a
ppolicy
,not24get
epasswdqc
) - As senhas são sincronizadas entre o Samba e o POSIX nos dois sentidos (graças a
smbk5pwd
). Observação: a verificação de qualidade com o Samba e a política paga não é óbvia: opassword check script
(pwqcheck -1
depasswdqc
) precisa executar as mesmas verificações que o LDAP ou o usuário receberá uma Permissão negada em vez de "Senha muito fácil, tente diferente". - O PAM e o Samba avisam ao usuário que a senha expirará em breve.
- Os diretórios de usuário são criados usando
pam_mkhomedir
- Implementação do GOsa² do RFC2307bis (e esquema associado) insere
uid
em entradas de grupos, portanto, aplicativos que esperam NIS (a maioria do material "UNIXy") ou RFC2307bis (a maioria dos aplicativos "projetados para AD") funcionam bem.
O único problema é que desabilitar uma conta requer o uso de ferramentas CLI (ou escrever o script GOsa postmodify) ou a conta não será bloqueada no nível LDAP, apenas para o PAM e o Samba. A expiração da senha ainda será aplicada, por isso não é um grande problema.