Назад | Перейти на главную страницу

Проверка подлинности Kerberos не выполняется, когда срок действия локального пароля истек

Я использую pam_krb5 с локальными учетными записями (Linux) для аутентификации пароля AD. Все работает отлично, пользователи могут проходить аутентификацию как с помощью AD, так и с помощью локальных паролей.

Однако у меня возникла проблема, когда срок действия локального пароля истекает, проверка подлинности Kerberos не выполняется и пользователю предлагается изменить свой локальный пароль. Проблема в том, что большинство пользователей не могут запомнить свой локальный пароль, и я пока что временно отключил принудительное изменение локального пароля.

Есть ли способ заставить pam_krb5 игнорировать просроченные локальные пароли или, по крайней мере, настроить PAM для приоритета паролей Kerberos над локальными?

Мои исследования заставили меня поверить, что это как-то связано с common-auth, который я предоставил ниже:

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so

Ставить pam_krb5 перед pam_unix2 (и держите use_first_pass о последней записи).