Я прохожу курс “от 0 до Linux админа” на сайте yodo.im и столкнулся с проблемой, связанной с настройкой компьютеров, присоединённых к домену, в среде Linux/Unix. Провожу оценку состояния AD в нашем лесу Windows 2019, и около 40 учетных записей компьютеров Linux/Unix отмечены как PasswordNeverExpires=True (установлен бит userAccountControl 65536). Прежде чем я начну отключать этот флаг, хочу понять, действительно ли так стоит делать.
Среда:
- Смешанная среда Linux: RHEL 7/8/9, Ubuntu, старые версии CentOS, плюс устройства NetApp/QNAP
- Методы присоединения разные:
realm join(SSSD), Samba/Winbind, имеются оставшиеся настройки старой Centrify - На некоторых машинах параметр
PasswordLastSetдатируется более чем 5-летней давностью, но они активно аутентифицируют пользователей через Kerberos - В конфигурациях SSSD, которые я проверял, либо указано
ad_maximum_machine_account_password_age = 0, либо этот параметр полностью отсутствует
Вопросы:
-
Устанавливается ли
PasswordNeverExpires=Trueактивно средствами присоединения Linux, или системные администраторы установили его вручную много лет назад, чтобы избежать сбоев? Устанавливают лиrealm join/adcli/net ads joinбит 65536 по умолчанию? -
Если я сброшу флаг
PasswordNeverExpiresна системе Linux, где ротация SSSD отключена, сломается ли что-нибудь? Я полагаю, что политика GPO не являет активную смену паролей — изменения инициирует сам клиент. Так что снятие этого флага на не ротирующемся устройстве, по моему мнению, не должно существенно влиять, а лишь улучшит отчет о состоянии системы. Я что-то пропускаю? -
Какова актуальная на 2026 год практика по ротации паролей для машин Linux? Включить везде
ad_maximum_machine_account_password_age = 30? Использовать cron дляadcli update? Или просто принять, что пароли Linux не ротируются, и задокументировать это как исключение?
Хотелось бы услышать реальные истории от тех, кто управляет смешанными средами Windows/Linux с AD в большом масштабе. Бонус, если кто-то уже проверял последствия отключения флага на устройстве без ротации.