Nonaktifkan dialog perubahan kata sandi yang kedaluwarsa di PAM

2

Saya mencoba menemukan cara untuk mematikan dialog perubahan kata sandi yang Anda dapatkan saat login dengan kata sandi yang kadaluwarsa.

"" "PERINGATAN: Kata sandi Anda telah kedaluwarsa. Anda harus mengubah kata sandi Anda sekarang dan masuk lagi! Mengubah kata sandi untuk pengguna xyz. Kata Sandi Saat Ini:" ""

Alih-alih, pengguna tidak seharusnya ditolak begitu saja. Aku diatur dalam sssd.conf yang chpass_provider = none dan aku mencoba miliaran konfigurasi pam tanpa keberhasilan saya selalu mendapatkan dialog. disini kata sandi saya auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        optional      pam_afs_session.so
auth        required      pam_deny.so

account     required      pam_access.so
account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_mkhomedir.so umask=0077
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so
session     required      pam_afs_session.so
sterni1971
sumber
Apakah Anda pernah berhasil ini? Kami juga ingin menonaktifkan pesan ini, dan sejauh ini telah menempuh rute yang sama dengan Anda chpass_provider=none, tetapi tidak berhasil. Cheers
swisscheese

Jawaban:

0

@ sterni1971 - Saya baru saja menemukan cara untuk memperbaikinya, dan menolak pengguna alih-alih membiarkan mereka mengubah kata sandi. Ini berkisar menggunakan Kerberos, jadi jika Anda tidak menggunakan Kerberos (yang, dengan melihat posting asli Anda, Anda mungkin tidak), maka permintaan maaf .. tapi semoga membantu orang lain dalam kasus itu.

Lihat fail_pwchangeopsi untuk pam_krb5(lihat: dokumentasi pam-krb5 ) Ini dapat diatur di /etc/krb5.conf, tetapi saya menemukan itu berfungsi ketika mengaturnya pada baris pam_krb5 saya di/etc/pam.d/sshd

auth       sufficient   pam_krb5.so forwardable renew_lifetime=30d ticket_lifetime=1d1h force_first_pass fail_pwchange
keju Swiss
sumber