Par défaut, il n’y a pas de rotation des mots de passes des comptes ordinateurs pour les serveurs Files qui ont des partagent SMB. Ce comportement ne correspondait pas à la politique de sécurité d’un de mes clients, nous avons alors chercher l’option pour corriger cela.
Il s’avère qu’il existe un paramètre le machine password timeout, dont on peut obtenir la valeur en se connecter sur un des serveurs AFS. Il y a encore quelques mois, la KB donnait un exemple erroné car la valeur doit être paramétrée en seconde plutôt en jours.
Voici les bonnes informations que vous pouvez retrouver dans la documentation sous Setting AD Machine Account Password Expiry
En SSH, depuis n’importe quelle CVM taper :
nutanix@CVM:~$ afs info.nvmipsVous récupérez ainsi les toutes les IP concernant Files, que ce soit les internes (côte CVM), les externes (côté clients) et la VIP.
Choisir n’importe quelle IP interne ou la VIP et exécuter :
nutanix@CVM:~$ ssh ip_interne_ou_vipVous êtes ainsi directement connecté sur une FSVM et vous pouvez exécuter la commande suivante pour vérifier la configuration actuelle de l’expiration :
nutanix@FSVM:~$ afs smb.get_conf "machine password timeout"
Vous devriez obtenir quelques choses comme :
[global]
machine password timeout = 0Comme je le disais précédemment à l’époque la KB donnait un exemple en jours qui ne fonctionnait pas, voici la valeur à mettre si vous voulez une rotation tous les 60 jours :
nutanix@FSVM:~$ afs smb.set_conf "machine password timeout" 5184000 section=global
