我有一个运行良好的 Fedora 9 系统,该系统设置为通过 PAM -> krb5 -> Active Directory 对用户进行身份验证。我正在将其迁移到 Fedora 14,一切正常,但它正在运行也好吧 :-) 在 Fedora 9 上,如果 Linux 用户更新了密码,则不会传播到他们的 Active Directory 帐户。在 Fedora 14 上,它会更改他们的 A/D 密码。问题是我不想更新 A/D。这是我的password-auth-ac:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_krb5.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_krb5.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_krb5.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_krb5.so
我尝试删除该行
password sufficient pam_krb5.so use_authtok
但是,当他们尝试更改 Linux 密码时,如果他们在身份验证提示中提供 A/D 密码,则会收到错误:
passwd: Authentication token manipulation error
我想要实现的目标是:
- 允许使用 A/D 或 Linux 密码进行身份验证(对于某些系统管理员用户来说,如果 A/D 因某种原因不可用,Linux 密码是一种后备方案)。现在可以使用了。
- 允许用户更改他们的 Linux 密码而不影响他们的 A/D 密码。
这可能吗?
答案1
但是,当他们尝试更改 Linux 密码时,如果他们在身份验证提示中提供 A/D 密码,则会收到错误:
passwd:身份验证令牌操作错误
这怎么会是个问题呢?如果你想更新你的 Linux 密码,你可以输入你当前的 Linux 密码。你的要求 #2 仍然得到满足。你还有第三个要求吗?
- 允许用户在无需输入 Linux 密码的情况下更改密码。