SSHは期限切れのKerberosパスワードで機能します
SSHをセットアップしました-kerberosV5を使用したシングルサインオン。ユーザーパスワードの有効期限が切れると、「警告:パスワードの有効期限が切れました。」が返され、ユーザーがログインできるようになります。 /etc/pam.d/password-auth
がpam_krb5.so
より上になるようにpam_unix.so
に変更を加えました。
認証スタック:
auth requisite pam_krb5.so uid >= 500
#Google authentication configuration module
auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth requisite pam_google_authenticator.so
auth [success=1 default=ignore] pam_unix.so nullok try_first_pass
auth required pam_deny.so
auth requisite pam_succeed_if.so uid >= 0 quiet
アカウントスタック:
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_krb5.so uid >= 500
account required pam_permit.so
パスワードの有効期限が切れたユーザーがログインできないようにするための変更を提案してください。
ログ:
krb5kdc.log
Jun 03 11:34:29 <Host-NAME> krb5kdc[1752](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.181.40: CLIENT KEY EXPIRED: [email protected] for krbtgt/[email protected], Password has expired
Jun 03 11:34:47 <Host-NAME> krb5kdc[1752](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.181.40: ISSUE: authtime 1464933887, etypes {rep=18 tkt=18 ses=18}, [email protected] for kadmin/[email protected] –
/var/log/auth.log
/var/log/auth.log : /var/log/auth.log : pam_krb5[24516]: authentication succeeds for 'testyoga' ([email protected]) –
編集:
提供されたaccount
スタックの内容に基づくと、pam_krb5.so
が成功すると、pam_localuser.so
はスキップされるようです。これが、パスワードのエージング制限が適用されていない原因である可能性が最も高いです。
これまでにわかっていることは次のとおりです。
- ログに記録されたメッセージは、ユーザーのパスワードの有効期限が切れていることを確認します。
pam_krb5
はそれにもかかわらず認証に成功します。
問題は、account
スタックが適切に構成されていないことだと思います。そこにはpam_krb5
のいくつかの異なる実装があり、それらのすべてがauth
スタック内にパスワードエージングチェックを実装しているわけではありません。
http://linux.die.net/man/8/pam_krb5
ユーザーがログインすると、モジュールの認証機能が簡単なパスワードチェックを実行し、可能であれば、Kerberos 5資格情報を取得して、後で使用できるようにキャッシュします。アプリケーションが資格情報の初期化を要求すると(またはセッションを開くと)、通常のチケットファイルが作成されます。その後、アプリケーションが資格情報の削除またはセッションの終了を要求すると、モジュールはチケットファイルを削除します。 アプリケーションがアカウント管理を要求すると、モジュールがユーザーの認証に参加しなかった場合、モジュールを無視するようにlibpamに通知します。モジュールがユーザーの認証に参加した場合は、期限切れのユーザーパスワードをチェックし、認証対象のユーザーの.k5loginファイルを使用してユーザーの認証を確認します。モジュール。
account
スタックの役割は、認証が成功したかどうかに関係なく、アクセスポリシーを適用することです。キーベースの認証を使用する場合、auth
スタックが頻繁にバイパスされるため、これは重要です。 auth
コンテキストでモジュールを呼び出すときに、パスワードのエージングによっても失敗するかどうかを決定するのは、個々の開発者の責任です。
逆に、Russ Allbery(私の好みの実装)によって維持されているpam_krb5
実装は、これをauth
スタックでキャッチします。
https://www.eyrie.org/~eagle/software/pam-krb5/pam-krb5.html
アカウント
Pam_acct_mgmt()の実装を提供します。上記のpam_authenticate()実装によって実行されるのと同じ認証チェックを実行するだけです。