Altere a senha local como root após a configuração para o MS-AD Kerberos + LDAP

5

Eu segui este post excelente para configurar o Kerberos + LDAP: link

No entanto, existem alguns usuários locais usados para serviços.
Quando tento alterar a senha para um desses, como root, ele pede Current Kerberos password e sai:

passwd service1
Current Kerberos password:  (I hit enter)
Current Kerberos password:  (I hit enter)
passwd: Authentication token manipulation error
passwd: password unchanged

Se eu alternar para o usuário local e fizer passwd , ele pedirá uma vez por Kerberos e voltará para o local:
$ passwd
Current Kerberos password: e Changing password for service1. e (current) UNIX password:

Minha configuração é semelhante ao site que postei acima, e tudo funciona bem, só não consigo alterar as senhas dos usuários locais como root.

Agradecemos antecipadamente por qualquer ajuda.

3.8.0-29-generic #42~precise1-Ubuntu

Atualização 1 2013-01-31:

# cat /etc/pam.d/common-auth
auth    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=2 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional                        pam_cap.so


# cat /etc/pam.d/common-password
password        [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
password        [success=2 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
password        [success=1 user_unknown=ignore default=die]     pam_ldap.so use_authtok try_first_pass
password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_gnome_keyring.so
    
por Daniel C. Lopez 31.01.2014 / 18:36

2 respostas

10

Em seu /etc/pam.d/common-password, altere o minimum_uid em sua primeira linha para algo maior que 1000, por exemplo:

password        [success=3 default=ignore]      pam_krb5.so minimum_uid=10000

Isso funcionou para mim. Isso é o que você deve ver em /var/log/auth.log depois de alterar a senha desse usuário como root:

Dec 26 12:34:36 3.8.0-29-generic passwd[22667]: pam_unix(passwd:chauthtok): password changed for service1
    
por 26.12.2014 / 18:57
0

se os seus usuários estiverem usando a senha do kerberos, você poderá remover o gerenciamento de senhas do kerberos do pam, porque a senha do kerberos pode ser alterada com o comando kpasswd

    
por 26.12.2014 / 19:44