Подробный гайд: смена доменного пароля в Astra Linux

Пошаговая смена доменного пароля в Astra Linux: passwd, kpasswd, smbpasswd, настройка PAM, SSSD, Kerberos, диагностика ошибок и политики безопасности домена.

2026.05.06                  

Подробный гайд: смена доменного пароля в Astra LinuxПодробный гайд: смена доменного пароля в Astra Linux

Важно:

Смена пароля доменного пользователя в Astra Linux зависит от типа доменной интеграции (Windows AD, FreeIPA, ALD Pro) и используемого механизма аутентификации (SSSD, Winbind, Kerberos).

1. Определение типа доменной интеграции

Перед сменой пароля определите, как настроена доменная аутентификация:

# Проверка конфигурации SSSD
cat /etc/sssd/sssd.conf | grep -E "id_provider|auth_provider"

# Проверка конфигурации Samba/Winbind
grep -E "workgroup|realm" /etc/samba/smb.conf

# Проверка Kerberos
cat /etc/krb5.conf | grep default_realm

2. Способы смены пароля доменного пользователя

Способ 1: Через стандартную команду passwd (при использовании SSSD)

Если система настроена через SSSD и PAM правильно интегрирован с доменом:

# Смена пароля текущего доменного пользователя
passwd

# Или с указанием полного имени пользователя в домене
passwd 'DOMAIN\username'
# или
passwd username@domain.ru

Если passwd меняет только локальный пароль, а не доменный, проверьте настройки PAM и SSSD.

Способ 2: Через утилиту kpasswd (Kerberos)

Для доменов с поддержкой Kerberos (Active Directory, FreeIPA, ALD Pro):

# 1. Получите билет Kerberos (если ещё не получен)
kinit username@DOMAIN.RU

# 2. Смените пароль через kpasswd
kpasswd username@DOMAIN.RU
# или просто
kpasswd

Система запросит:

  1. Текущий пароль
  2. Новый пароль (дважды)

Параметр krb5_kpasswd в /etc/krb5.conf указывает, где работает служба смены паролей.

Способ 3: Через smbpasswd (для Windows AD через Samba/Winbind)

# Смена пароля доменного пользователя через SMB
smbpasswd -r DC_NAME.DOMAIN.RU -U username

# Пример:
smbpasswd -r dc01.astradomain.ru -U ivanov

Система запросит старый и новый пароль.

Способ 4: Графический интерфейс (если доступен)

В Astra Linux с графической оболочкой:

  1. Нажмите «Пуск» → «Панель управления»
  2. Перейдите в раздел «Безопасность»
  3. Выберите «Изменить пароль»

Графическая утилита может работать только с локальными учётными записями, если не настроена интеграция с доменом.

3. Настройка PAM для смены доменных паролей

Чтобы passwd корректно работал с доменными пользователями, проверьте файл /etc/pam.d/common-password:

# Пример корректной конфигурации для SSSD
password sufficient pam_sss.so use_authtok
password required pam_unix.so sha512 shadow use_authtok

Для работы с паролями через Kerberos добавьте:

password sufficient pam_krb5.so use_authtok

После изменений перезапустите службу:

sudo systemctl restart sssd

4. Частые проблемы и решения

Проблема Возможная причина Решение
passwd меняет только локальный пароль Не настроен PAM для домена Проверьте /etc/pam.d/common-password и настройки SSSD
"Password is too recent to change" Минимальный возраст пароля в политике AD Дождитесь истечения минимального срока или обратитесь к администратору домена
"Password does not meet complexity requirements" Политика сложности паролей в домене Используйте пароль, соответствующий требованиям домена (длина, символы, история)
Ошибка аутентификации при kpasswd Рассинхронизация времени или неверный realm Проверьте синхронизацию времени (NTP) и настройку /etc/krb5.conf
Учётная запись заблокирована Превышено количество неудачных попыток входа Обратитесь к администратору домена для разблокировки

5. Политики паролей в домене

Пароли в домене управляются политиками контроллера:

  • Минимальная длина (обычно 8+ символов)
  • Сложность: заглавные, строчные буквы, цифры, спецсимволы
  • История паролей: запрет на повторение последних 24 паролей
  • Срок действия: обязательная смена каждые 60-90 дней
  • Минимальный возраст: запрет на частую смену (обычно 1 день)

Для изменения пароля в атрибут userPassword сервер автоматически генерирует все необходимые хеши (PBKDF2, AES, NTLM).

6. Проверка статуса пароля и учётной записи

# Проверка срока действия пароля (для локальных пользователей)
chage -l username

# Для доменных пользователей через SSSD
sss_override user-show username@domain.ru

# Проверка билетов Kerberos
klist

# Проверка статуса учётной записи в домене (требуются права администратора)
# Для FreeIPA:
ipa user-show username
# Для Samba AD:
samba-tool user show username

7. Автоматическое обновление пароля компьютера в домене

Для доменных компьютеров можно настроить автообновление пароля машины:

# В /etc/sssd/sssd.conf в секции домена:
ad_maximum_machine_account_password_age = 30

Служба SSSD будет ежедневно проверять возраст пароля компьютера и обновлять его при необходимости.

8. Если ничего не помогает

1. Проверьте логи:
   journalctl -u sssd -f
   tail -f /var/log/auth.log
2. Убедитесь в доступности контроллера домена:
   ping dc01.domain.ru
   nslookup domain.ru
3. Обратитесь к администратору домена для:
  • Сброса пароля принудительно
  • Проверки политик паролей
  • Разблокировки учётной записи

Примечание:

Начиная с обновления 1.8, компонент Astra Linux Directory (ALD) исключён из состава Astra Linux Special Edition. Для доменных функций рекомендуется использовать FreeIPA, Samba AD или интеграцию с Windows Active Directory.

×

Полный размер Слайдшоу Предыдущий Следующий