Назад | Перейти на главную страницу

Не удается принудительно изменить пароль в OpenLDAP с наложением политики паролей

Я реализовал наложение политики паролей на OpenLDAP в Debian Stable. Серверная часть и политики работают должным образом. Однако по истечении срока я не могу заставить пользователей изменить свои пароли. Пользователь входит в систему и получает сообщение о том, что срок действия его пароля истек и его необходимо немедленно изменить. Однако как при локальном входе в систему, так и при входе по SSH пользователь будет исключен. На стороне клиента используются libnss_ldap, pam_ldap. pwdMustChange, pwdAllowUserChange оба установлены на true. С помощью passwd для смены паролей тоже работает как положено.

Файлы конфигурации на стороне клиента

/etc/nsswitch.conf:

passwd:         files ldap
group:          files ldap
shadow:         files 

/etc/pam.d/common-account:

account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so
account requisite pam_deny.so
account required pam_permit.so

/etc/pam.d/common-auth:

auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so

/etc/pam.d/common-password:

password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass

/etc/pam.d/common-password:

session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session required pam_unix.so 
session optional pam_ldap.so

/etc/libnss-ldap.conf:

base dc=testldap,dc=example,dc=com
uri ldap://192.168.56.102/
ldap_version 3
pam_lookup_policy yes
pam_password exop

/etc/pam_ldap.conf:

base dc=testldap,dc=example,dc=com
uri ldap://192.168.56.102/
ldap_version 3
pam_lookup_policy yes
pam_password exop

Любые идеи?

Я решил проблему. Единственное, что мне нужно было сделать, это добавить new_authtok_reqd=done выполните строку LDAP в файле общей учетной записи. Итак, получившийся файл выглядит следующим образом, и ожидается, что все работает:

account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore] pam_ldap.so
account requisite pam_deny.so
account required pam_permit.so