A autenticação Kerberos falha quando a senha local é expirada

3

Estou usando o pam_krb5 com contas locais (Linux) para autenticação de senha do AD. As coisas estão funcionando muito bem, os usuários podem se autenticar tanto com o AD quanto com as senhas locais.

Estou tendo um problema, no entanto, quando a senha local expira, a autenticação Kerberos falha e solicita que o usuário altere sua senha local. O problema é que a maioria dos usuários não consegue se lembrar da senha local e, até agora, minha solução alternativa foi desabilitar temporariamente a imposição de alteração de senha local.

Existe uma maneira de o pam_krb5 ignorar as senhas locais expiradas, ou pelo menos configurar o PAM para priorizar as senhas do Kerberos sobre o local?

Minha pesquisa me levou a acreditar que tem algo a ver com a common-auth, que forneci abaixo:

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so
    
por j_nix 30.11.2015 / 22:08

1 resposta

3

Coloque pam_krb5 antes de pam_unix2 (e mantenha o use_first_pass na última entrada).

    
por 01.12.2015 / 02:02