A linha chave é esta:
sshd[18237]: error: PAM: User account has expired for DOMAIN\USER from HOSTNAME
Isso indica que um módulo PAM acredita que a conta expirou. Eu me concentraria menos em auth
/ session
e mais em account
, que é a facilidade focada nas propriedades da conta não relacionadas à autenticação. Sua primeira tarefa é identificar o módulo que está causando o problema. Uma vez que você sabe disso, deve ser muito mais fácil identificar porque o módulo acha que o usuário deve estar bloqueado.
Revise os módulos account
aplicáveis, um a um, e tente adicionar o sinalizador debug
às entradas individuais para expandir a saída do registro, se precisar de mais dicas. Se realmente estiver perplexo e não violar a segurança de um ambiente crítico, você também pode tentar comentar as linhas account
uma por vez até identificar seu culpado.
Quanto ao que mudou, mais do que provavelmente sua configuração do PAM foi modificada quando esses pacotes foram instalados. É provável que os usuários em questão estivessem nesse estado o tempo todo, mas o banco de dados associado ao módulo account
de mau comportamento estava sendo ignorado. (ignorado, comentado, não presente, etc.)