Linux
本地密碼過期時,Kerberos 身份驗證失敗
我正在使用 pam_krb5 和本地帳戶 (Linux) 進行 AD 密碼身份驗證。一切都很好,使用者能夠使用 AD 和本地密碼進行身份驗證。
但是我遇到了一個問題,當本地密碼過期時,Kerberos 身份驗證失敗並提示使用者更改其本地密碼。問題是大多數使用者不記得他們的本地密碼,到目前為止,我的解決方法是暫時禁用本地密碼更改強制。
有沒有辦法讓 pam_krb5 忽略過期的本地密碼,或者至少將 PAM 配置為優先考慮 Kerberos 密碼而不是本地密碼?
我的研究使我相信這與我在下面提供的 common-auth 有關:
auth required pam_env.so auth sufficient pam_unix2.so auth requisite pam_succeed_if.so user ingroup access_www auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so
放在
pam_krb5
前面pam_unix2
(並保留use_first_pass
在後面的條目上)。