Coloque pam_krb5 antes de pam_unix2 (e mantenha o use_first_pass na última entrada).
Estou usando o pam_krb5 com contas locais (Linux) para autenticação de senha do AD. As coisas estão funcionando muito bem, os usuários podem se autenticar tanto com o AD quanto com as senhas locais.
Estou tendo um problema, no entanto, quando a senha local expira, a autenticação Kerberos falha e solicita que o usuário altere sua senha local. O problema é que a maioria dos usuários não consegue se lembrar da senha local e, até agora, minha solução alternativa foi desabilitar temporariamente a imposição de alteração de senha local.
Existe uma maneira de o pam_krb5 ignorar as senhas locais expiradas, ou pelo menos configurar o PAM para priorizar as senhas do Kerberos sobre o local?
Minha pesquisa me levou a acreditar que tem algo a ver com a common-auth, que forneci abaixo:
auth required pam_env.so
auth sufficient pam_unix2.so
auth requisite pam_succeed_if.so user ingroup access_www
auth sufficient pam_krb5.so use_first_pass
auth required pam_deny.so