Я использую pam_krb5 с локальными учетными записями (Linux) для аутентификации пароля AD. Все работает отлично, пользователи могут проходить аутентификацию как с помощью AD, так и с помощью локальных паролей.
Однако у меня возникла проблема, когда срок действия локального пароля истекает, проверка подлинности Kerberos не выполняется и пользователю предлагается изменить свой локальный пароль. Проблема в том, что большинство пользователей не могут запомнить свой локальный пароль, и я пока что временно отключил принудительное изменение локального пароля.
Есть ли способ заставить pam_krb5 игнорировать просроченные локальные пароли или, по крайней мере, настроить PAM для приоритета паролей Kerberos над локальными?
Мои исследования заставили меня поверить, что это как-то связано с common-auth, который я предоставил ниже:
auth required pam_env.so
auth sufficient pam_unix2.so
auth requisite pam_succeed_if.so user ingroup access_www
auth sufficient pam_krb5.so use_first_pass
auth required pam_deny.so
Ставить pam_krb5
перед pam_unix2
(и держите use_first_pass
о последней записи).