Я хочу отклонить наш стандартный пароль в pam для служб, пока пользователь не изменит его. Это фиксированный пароль, хорошо известный нашим пользователям, но я не знаю, как настроить pam, чтобы он отказывался от него. Проверяю cracklib, но он работает только при смене пароля, а не при авторизации. Я не могу использовать pam_succeed_if, так как он не проверяет пароль.
Есть идеи, как отклонить этот пароль?
Рассматривать pam_exec
chage -d 0 username должен это сделать. Возможно, вам придется установить нулевой начальный пароль, что, вероятно, не очень безопасно, но некоторое тестирование методом проб и ошибок должно показать, так ли это.
-редактировать-
В этом случае вы можете создать сценарий входа в систему при входе в систему, используя /etc/profile, /etc/bash.bashrc или что-то вроде того, чтобы сначала установить этот пароль, а затем позволить политике устаревания принудительно его изменить?