Os usuários não podem usar o crontab após a atualização de segurança de senha

6

Eu tenho uma caixa sendo atualizada do CentOS 5 para o CentOS 6. No servidor original, todos os usuários têm senhas MD5. O servidor atualizado agora está usando senhas SHA-512.

Os usuários que alteraram sua senha e têm uma senha SHA-512 em /etc/shadow desde a atualização podem usar crontab com êxito, mas os usuários que não alteraram sua senha e ainda têm uma senha MD5 antiga não podem usar% código%. A mensagem de erro que eles recebem é:

Authentication service cannot retrieve authentication info
You (_username_) are not allowed to access to (crontab) because of pam configuration.

Eu olhei para crontab ( você também pode ), mas não sei exatamente o que ajustar para permitir acesso a crontab para usuários que ainda não alteraram suas senhas.

Estou ciente de que posso forçar todos a alterarem suas senhas com /etc/pam.d/system-auth , e os usuários que alterarem sua senha recuperarão o acesso ao crontab (e qualquer coisa que possa estar quebrada), mas tenho alguns usuários onde preciso para editar seu crontab antes de seu próximo login, e usar chage -d 0 como root também falha exatamente com o mesmo erro acima.

Estranhamente, esse problema não apareceu na minha caixa de desenvolvimento; Eu me deparei com isso na caixa de teste antes da implantação. Usuários na caixa dev com senhas MD5 antigas podem acessar o crontab bem, e o crontab -e -u _username_ é idêntico. As caixas dev e staging devem ser idênticas, além de seus endereços IP. Eu suspeito que perdi algo realmente óbvio e estúpido ...

Então, minha pergunta é: como posso habilitar o acesso ao crontab para usuários que ainda não alteraram suas senhas e que têm o hash SHA-512? Ou, como posso resolver este problema?

    
por Michael Hampton 17.07.2012 / 02:38

3 respostas

10

Consegui corrigir esses momentos depois de postar a pergunta.

Acontece que as entradas /etc/shadow para os usuários de senhas MD5 afetadas tiveram de alguma forma o campo após a duplicação da senha com hash, fazendo com que o PAM não conseguisse interpretar a linha. Em outras palavras, um mau trabalho de cortar e colar.

Eu não tomei café suficiente ...

    
por 17.07.2012 / 02:44
1

Eu também tive esse problema e o / etc / shadow não tinha uma entrada para esse usuário. Usando pwck adicionou o usuário e o problema foi resolvido.

    
por 30.07.2016 / 17:48
0

Tive os mesmos problemas. Se você não precisa de uma senha exata para conta, basta executar:

pwconv
    
por 08.02.2017 / 13:58