本地密码过期时 Kerberos 身份验证失败

本地密码过期时 Kerberos 身份验证失败

我使用 pam_krb5 和本地帐户 (Linux) 进行 AD 密码身份验证。一切运行良好,用户能够使用 AD 和本地密码进行身份验证。

但我遇到了一个问题,当本地密码过期时,Kerberos 身份验证会失败并提示用户更改本地密码。问题是大多数用户都记不住本地密码,到目前为止,我的解决方法是暂时禁用本地密码更改强制功能。

有没有办法让 pam_krb5 忽略过期的本地密码,或者至少配置 PAM 以优先考虑 Kerberos 密码而不是本地密码?

我的研究使我相信它与 common-auth 有关,我在下面提供了相关信息:

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so

答案1

放在pam_krb5前面pam_unix2(并将 保留use_first_pass在后面的条目中)。

相关内容