Linux

本地密碼過期時,Kerberos 身份驗證失敗

  • December 1, 2015

我正在使用 pam_krb5 和本地帳戶 (Linux) 進行 AD 密碼身份驗證。一切都很好,使用者能夠使用 AD 和本地密碼進行身份驗證。

但是我遇到了一個問題,當本地密碼過期時,Kerberos 身份驗證失敗並提示使用者更改其本地密碼。問題是大多數使用者不記得他們的本地密碼,到目前為止,我的解決方法是暫時禁用本地密碼更改強制。

有沒有辦法讓 pam_krb5 忽略過期的本地密碼,或者至少將 PAM 配置為優先考慮 Kerberos 密碼而不是本地密碼?

我的研究使我相信這與我在下面提供的 common-auth 有關:

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so

放在pam_krb5前面pam_unix2(並保留use_first_pass在後面的條目上)。

引用自:https://serverfault.com/questions/739855