Linux

本地密碼過期時,Kerberos 身份驗證失敗

  • December 1, 2015

我正在使用 pam_krb5 和本地帳戶 (Linux) 進行 AD 密碼身份驗證。一切都很好,使用者能夠使用 AD 和本地密碼進行身份驗證。

但是我遇到了一個問題,當本地密碼過期時,Kerberos 身份驗證失敗並提示使用者更改其本地密碼。問題是大多數使用者不記得他們的本地密碼,到目前為止,我的解決方法是暫時禁用本地密碼更改強制。

有沒有辦法讓 pam_krb5 忽略過期的本地密碼,或者至少將 PAM 配置為優先考慮 Kerberos 密碼而不是本地密碼?

我的研究使我相信這與我在下面提供的 common-auth 有關:

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so

放在pam_krb5前面pam_unix2(並保留use_first_pass在後面的條目上)。

引用自:https://serverfault.com/questions/739855

相關問答

Linux

登錄僅限於使用 SSD 和 Kerberos 的 LDAP 組

  • December 4, 2019
檢視問答
Linux

使用“pam_krb5.so try_first_pass”時,klist 不返回任何票證

  • June 30, 2017
檢視問答
Linux

如何通過 pam_krb5 中的 kerberos 拒絕訪問禁用的 AD 帳戶?

  • March 15, 2017
檢視問答
Linux

使用 PAM 在 ssh 登錄時初始化 Kerberos 票證

  • April 22, 2016
檢視問答
Linux

為什麼 sshd 仍然在使用 PAM?

  • February 13, 2015
檢視問答
Linux

如何在登錄時顯示 SSH 橫幅,但僅用於密碼驗證

  • June 14, 2013
檢視問答