我使用 pam_krb5 和本地帐户 (Linux) 进行 AD 密码身份验证。一切运行良好,用户能够使用 AD 和本地密码进行身份验证。
但我遇到了一个问题,当本地密码过期时,Kerberos 身份验证会失败并提示用户更改本地密码。问题是大多数用户都记不住本地密码,到目前为止,我的解决方法是暂时禁用本地密码更改强制功能。
有没有办法让 pam_krb5 忽略过期的本地密码,或者至少配置 PAM 以优先考虑 Kerberos 密码而不是本地密码?
我的研究使我相信它与 common-auth 有关,我在下面提供了相关信息:
auth required pam_env.so
auth sufficient pam_unix2.so
auth requisite pam_succeed_if.so user ingroup access_www
auth sufficient pam_krb5.so use_first_pass
auth required pam_deny.so
答案1
放在pam_krb5
前面pam_unix2
(并将 保留use_first_pass
在后面的条目中)。