パスワード変更時の「認証トークン操作エラー」を回避
ユーザーが自分のパスワードを変更するときに、より厳密なパスワードを導入するように強制するセキュリティポリシーを実装しています。
/etc/pam.d/passwd構成ファイルは次のとおりです。
#%PAM-1.0
auth include common-auth
account include common-account
password include common-password
session include common-session
そこで、このファイル/etc/pam.d/common-passwordに変更を加えました。
デフォルトのcommon-passwordファイルには、次の2行が含まれています。
password requisite pam_pwcheck.so nullok cracklib
password required pam_unix2.so use_authtok nullok
パスワードを強化するために、pam_pwcheckにいくつかのオプションを追加する必要があります(問題ありません)および別のPAMモジュール(pam_cracklib)。次に、これはpasswdからインクルードされた最後の/etc/pam.d/common-passwordファイルです。
password requisite pam_cracklib.so minclass=3 retry=3
password requisite pam_pwcheck.so nullok cracklib minlen=10 remember=5
password required pam_unix2.so use_authtok nullok
私の問題は、両方のPAMモジュールを構成しているときに発生します。正しいパスワードを導入すると、問題なく機能します。 pam_cracklibで拒否する必要がある不正なパスワード(たとえば、小文字のみのパスワード)を導入すると、正常に機能します(問題なくパスワードを拒否します)。
しかし、cracklibには有効でpwcheckには無効なパスワード(大文字、小文字、長さが7文字のパスワード)を導入すると、パスワードは拒否されますが、このエラーは示されています:
Bad password: too short
passwd: Authentication token manipulation error
そのため、pam_pwcheckはエラーメッセージ(Bad password: too short)を出力しますが、PAMチェーンで問題が発生します。
私の構成の何が悪いのか知っていますか?
追伸「セキュリティ」要件はまったく私のものではないので、コメントは避けてください;-)。
最後に、最初の2つのモジュールの順序を逆にするだけで機能します。
password requisite pam_pwcheck.so nullok cracklib minlen=10 remember=5
password requisite pam_cracklib.so minclass=3 retry=3
password required pam_unix2.so use_authtok nullok
今、私は別のエラーに直面していますが、別の質問でそれを尋ねます。
ファイル/etc/pam.d/common-passwordについて、次のようにPAMチェーンを再構築してみてください:
password required pam_pwcheck.so
password required pam_cracklib.so use_authtok minlen=10 retry=3 minclass=3
password required pam_pwcheck.so remember=5 use_authtok use_first_pass
password required pam_unix2.so nullok use_authtok use_first_pass
私は上記を見つけて、このNovellドキュメントのタイトルを少し変更しました: pam_pwcheckとpam_cracklibを同時に使用 。
さらに、これらをリソースとして使用しました:
私はFedora 25 systemd-nspawnコンテナーを使用していましたが、passwdをSudo dnf reinstall passwdで再インストールするまで何もしませんでした。