Desabilita o diálogo de mudança de senha expirada no PAM

2

Eu tento encontrar uma maneira de desativar a caixa de diálogo de alteração de senha você começa quando você faz o login com uma senha expirada.

"" " AVISO: Sua senha expirou. Você deve alterar sua senha agora e faça o login novamente! Alterando a senha para o usuário xyz. Senha atual: "" "

Em vez disso, o usuário não deve simplesmente ser rejeitado. Eu coloquei o sssd.conf chpass_provider = none e eu tentei bilhões de configurações de pam sem sucesso eu sempre recebo o diálogo. aqui minha senha auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        optional      pam_afs_session.so
auth        required      pam_deny.so

account     required      pam_access.so
account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_mkhomedir.so umask=0077
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
session     required      pam_afs_session.so
    
por sterni1971 09.05.2016 / 11:51

1 resposta

0

@ sterni1971 - Acabei de encontrar uma maneira de corrigir isso e negar o usuário, em vez de permitir que ele altere a senha. Isso gira em torno do uso do Kerberos, portanto, se você não estiver usando o Kerberos (que, olhando para sua postagem original, talvez não esteja), então peça desculpas .. mas esperamos que ajude alguém nesse caso.

Confira a opção fail_pwchange para pam_krb5 (veja: documentação do pam-krb5 ) Ele pode ser configurado no /etc/krb5.conf, mas eu achei que funcionou ao configurá-lo na minha linha pam_krb5 em /etc/pam.d/sshd

auth       sufficient   pam_krb5.so forwardable renew_lifetime=30d ticket_lifetime=1d1h force_first_pass fail_pwchange
    
por 29.07.2016 / 12:13