Alapvetően két feladatunk van a kliensen, hogy ez is menjen.
Az egyik, hogy az /etc/ldap.conf fájlban töröljük a kommentezést a pam_lookup_policy yes bejegyzés elől.
A másik, hogy az /etc/pam.d/common-account fájlban felcseréljük a két modul, a pam_unix.so és a pam_ldap.so sorrendjét:
account [success=2 new_authtok_reqd=done default=ignore] pam_ldap.so account [success=1 default=ignore] pam_unix.so account requisite pam_deny.so account required pam_permit.soÉs elvileg most már a jelszóváltoztatás kényszerítése is megy, meg hát szól is a rendszer, hogy lejárós a jelszó.
Ha nálad is van Kerberos-hitelesítés, akkor van még egy dolgod. Az /etc/pam.d/common-auth fájl kezdetben ilyen:
auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000 auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.soA vastagított rész azt jelzi, hogy ha jó Kerberos-jelszót adunk meg, akkor a következő 3 modul kihagyható - vagyis a vezérlés azonnal a pam_permit.so-hoz kerül, aki beenged bennünket. Azaz a pam_ldap.so nem aktiválódik - márpedig akkor ki a fene szól majd a lejárós jelszó miatt?!
Ha azt a 3-ast 1-re cseréljük, akkor a jól megadott Kerberos-jelszó után nem kell Unix-hitelesítés, de LDAP-hitelesítés már kelleni fog. A Kerberos- és az LDAP-jelszó szinkronban van, és a pam_ldap.so az use_first_pass kitétel miatt nem kér másikat, azaz a felhasználó csak egy jelszót ad meg - a kliens mégis kétszer hitelesíti. És így megkapjuk a figyelmeztetést.
Klassz!
Ha a jelszavakat te is az smbkrb5pwd segítségével szinkronizálod, akkor van még egy bajod a jelszóházirendekkel, de erről már csak legközelebb lesz szó.
Nincsenek megjegyzések:
Megjegyzés küldése