أنا أستخدم pam_krb5 مع الحسابات المحلية (Linux) لمصادقة كلمة مرور AD. تسير الأمور على ما يرام ، يستطيع المستخدمون المصادقة باستخدام كلمات المرور المحلية وكلمات المرور الإعلانية.

أواجه مشكلة بالرغم من ذلك ، عندما تنتهي صلاحية كلمة المرور المحلية ، تفشل مصادقة Kerberos وتطالب المستخدم بتغيير كلمة المرور المحلية الخاصة به. تكمن المشكلة في أن معظم المستخدمين لا يمكنهم تذكر كلمة المرور المحلية الخاصة بهم ، وكان الحل البديل حتى الآن هو تعطيل فرض تغيير كلمة المرور المحلية مؤقتًا.

هل هناك طريقة لتجاهل pam_krb5 كلمات المرور المحلية منتهية الصلاحية ، أو على الأقل تكوين PAM لإعطاء الأولوية لكلمات مرور Kerberos على المحلية؟

قادني بحثي إلى الاعتقاد بأن له علاقة بالتأليف المشترك ، والذي قدمته أدناه:

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so
answer

ضع pam_krb5قبل pam_unix2(واحتفظ به use_first_passفي الإدخال الأخير).