Linux和Windows密码安全设置

Question

我问一个客户为什么在Linux操作系统级别上没有定义一些密码参数，他说，在内部，Linux和Windows的复杂性和超时设置是不同的。如果它们设置了Linux密码复杂性/超时设置，那么Linux系统可能会在Windows AD之前请求更改密码，并且/或Linux密码复杂性将不同于Windows复杂性，用户将将其密码更改为在Linux中有效但在Windows中无效的密码，从而被锁定帐户。

这是真的吗？难道他们不能用同样的方式设置操作系统和AD的密码设置(例如帐户锁定、空闲会话超时、复杂性)来避免这种情况吗？

Answer 1

客户端使用Active Directory (AD)作为中心身份验证。因此，在Linux或Windows客户端上都不应该有密码策略配置。这应该只适用于广告。

在内部，Linux和Windows的复杂性和超时设置是不同的。

有点同意，如果我们谈论的是当地的帐户(我们不是)。

如果他们设置了Linux密码复杂性/超时设置，那么Linux系统可能会在Windows之前要求更改密码

AD存储帐户上一次密码更改的时间。AD全局对象存储密码过期的天数(嗯，微秒)。

因此，密码过期的实际时间对Windows和Linux ()都是已知的，而且它是由AD强制执行的)。您可能会有Windows鼓励您更改密码，因为-made在过期前7天，而Linux只在5天之前更改(您可以忽略)，但这不是这里所述的，也不是相关的。

此外，如果密码更改的时间早于要求，这也是非常好的。这会重新设置密码的有效期，不管是剩下3天还是30天。所以我也不明白为什么这会是个问题。

Linux密码复杂性将不同于Windows复杂性，用户将将其密码更改为在Linux中有效但在Windows中无效的密码，从而被锁定帐户

不是的。当您从Linux更改AD密码时(例如。使用smbpasswd，但是passwd可能被钩住以进行网络密码更改)，它会向AD发送新旧密码。因此，需要接受的是AD。

确实，您可以轻松地从Linux设置一些由于键盘设置不同而不能(很容易)从Windows上使用的密码(您可以设置密码--这是您无法从Windows登录屏幕上输入的字符，哎呀！)，但是Windows本身很乐意接受它(例如，在通过RDP提供密码时所显示的那样)。但这与复杂性规则完全无关。

还请注意，如果您在这种情况下结束，您可以返回并将密码从Linux更改为在Windows中可接受和可键入的密码。

这是真的吗？难道他们不能用同样的方式设置操作系统和AD的密码设置(例如帐户锁定、空闲会话超时、复杂性)来避免这种情况吗？

你混合了几个不同的值。空闲会话超时实际上是一种本地配置。但是密码设置不会在本地(用nsswitch术语，由passwd/compat提供程序处理)，而是来自AD，在AD中，大多数设置都是配置和存储的，并且强制执行不同帐户的状态(如果有太多错误的密码尝试，AD将拒绝使用这些凭据绑定，无论客户端是否验证该badPwdCount )。

1例外情况:如果程序正在手动检查提供的密码和密码散列，则需要自己进行所有这些AD检查。不过，我认为当AD可以为您做这件事时，这并不是一个很好的实践，您可能需要绕开道路，以便让AD向应用程序公开密码哈希。

这可能是客户端实际上在使用单独的帐户。Windows客户端进行身份验证的AD和Linux中的本地帐户。然后，上述的一些混乱可能会发生。但他们实际上是不同的帐户！(即使他们使用相同的用户名，并且用户通常同时更改密码)，在这种情况下，正确的做法是将Linux客户机集成到AD中，而不是使用单独的帐户。设置要比创建本地未连接的用户要复杂得多，而且大多数Linux用户-not都在企业环境中--通常不会走这条路，但这是完全可行的，而且在所描述的环境中，这是正确的选择。

Answer 2

Windows、AD和Linux中的身份验证系统完全不同。Windows AD使用Kerberos，它使用各种“令牌”、“票证”和密钥来建立标识。如果有可插拔身份验证模块(PAM)来支持Kerberos身份验证，Linux系统可以使用Kerberos身份验证，但更有可能的是，它们继续使用自己的本地身份验证系统，正如Scottie所描述的那样。

当然，在大多数情况下，可以设置各种参数(密码复杂性、过期等)。在这两个系统中都是一样的，但是在两个完全不同的系统上找到所有合适的推动杆和旋钮可能是徒劳无益的，而且可能存在某些参数的组合，这些参数在两个平台之间可能互不兼容。

我还会认为，密码本身正迅速超出其有用性，而多因素认证(MFA)是一种安全的方法。但是，实现MFA跨平台时也存在相同的不兼容性，除非仔细选择基础设施(例如，硬件或软件令牌身份验证的RADIUS )，同时考虑到这两个平台。