Назад | Перейти на главную страницу

Как я могу отключить запрос на сброс пароля при входе в ssh для просроченного пароля? (RHEL 6.9)

Окружающая среда:

Red Hat Enterprise Linux Server release 6.9 (Santiago)
LDAP provided by Oracle Directory Server running on Solaris

Как отключить запрос автоматической смены пароля, когда пользователь входит в систему с просроченным паролем? Я хочу, чтобы вход в систему завершился ошибкой с сообщением об истечении срока действия пароля. Было бы неплохо добавить сообщение, чтобы также связаться с нашей службой поддержки.

В настоящее время, когда выясняется, что срок действия пароля пользователя истек, система запускает программу сброса пароля, но она не работает в нашей системе из-за нашего сервера LDAP.

Я пытался изменить chpass_provider = ldap к chpass_provider = none в разделе [домен] файла sssd.conf. Но у меня это не сработало.

Любые указатели приветствуются.

Я думаю, что самый простой способ - установить срок действия учетной записи, а также пароль. Если они происходят в один и тот же день, пользователь все равно получит предупреждение и сможет изменить свой пароль. перед срок его действия истекает, но как только он истечет, они не смогут войти в систему и / или изменить свой пароль.

Эта команда выведет список свойств истечения срока действия пользователя:

 $ chage -l <username>
 Last password change                                    : Dec 29, 2017
 Password expires                                        : never
 Password inactive                                       : never
 Account expires                                         : never
 Minimum number of days between password change          : 0
 Maximum number of days between password change          : 99999
 Number of days of warning before password expires       : 7

Вы также можете установить свойства с помощью chage команда.

Что касается вновь созданных пользователей, вы можете изменить /etc/default/useradd и установите EXPIRE= значение, которое будет установлено по истечении срока действия учетной записи для пользователей, созданных с помощью useradd.

Что касается оповещения ИТ. Вероятно, вы могли бы довольно легко перебрать пользователей и запустить chage , чтобы узнать, заблокирована ли их учетная запись / срок ее действия истек, и сгенерировать электронное письмо.

Здесь есть некоторая информация: https://www.techrepublic.com/article/how-to-manage-linux-password-expiry-with-the-chage-command/

chage, как уже было сказано, хорошее начало. Также учтите /etc/login.defs и PASS_* варианты в нем.

Кроме того, похоже, что задействован sssd, в sssd.conf также есть параметры конфигурации истечения срока действия пароля (например, pwd_expiration_warning или pam_pwd_expiration_warning).