Срок действия пароля: pam_pwd_expiration_warning и pwd_expiration_warning
Источник информации: Red Hat Traiining. Domain Options: Setting Password Expirations
Общепринято задавать в политике применения паролей срок их действия. После истечения этого срока пароль становится недействительным и должен быть заменен. Сроки действия паролей рассчитываются на контроллере домене. Служба SSSD получает информацию о сроках от доменных служб, и может выдавать соответствующие предупреждения при аутентификации с использованием PAM-стека.
Включение отображения предупреждений о приближении истечения срока действия пароля осуществляется двумя параметрами конфигурации. Значения этих параметров определяют за какое время (в днях) до истечения срока начать выдавать предупреждения:
- pam_pwd_expiration_warning — параметр задается в секции PAM и определяет глобальное значение, используемое по умолчанию для всех доменов.
- pwd_expiration_warning — параметр задается в секции параметров домена и определяет значение для этого домена. При использовании этого параметра обязательно должен быть указана служба аутентификации домена (authentication provider, задается параметром auth_provider, или, при отсутствии этого параметра, используется значение параметра id_provider).
Если параметры не заданы, то предупреждения не выдаются. Если значение параметра 0, то предупреждения выдаются всегда по мере их получения.
Например:
[sssd] services = nss,pam ... [pam] pam_pwd_expiration_warning = 3 ... [domain/EXAMPLE] id_provider = ipa auth_provider = ipa pwd_expiration_warning = 7
Предупреждения о сроке истечения пароля при беспарольной аутентификации
По умолчанию срок истечения пароля проверяется только при вводе пользователем пароля в процессе аутентификации. Для включения проверки срока истечения пароля при входе без использования пароля (например, в сессии SSH):
- Параметру access_provider присвоить значение ldap.
- Добавить параметр ldap_pwd_policy со значением shadow.
- Добавить параметр ldap_access_orderо с одним из значений:
- pwd_expire_policy_reject — отобразить предупреждение и, если срок действия пароля истек, запретить вход;
- pwd_expire_policy_warn — отобразить предупреждение и разрешить вход, даже если срок действия пароля истек;
- pwd_expire_policy_renew — отобразить предупреждение, и предложить сменить пароль, если его срок действия истек.
Пример:
[domain/EXAMPLE] access_provider = ldap ldap_pwd_policy = shadow ldap_access_order = pwd_expire_policy_warn
Более подробную информацию см. в справочной системе man sssd-ldap(5).
Состояние учетной записи: pam_account_expired_message и pam_account_locked_message
Информацию о состоянии учетной записи можно корректировать с помощью следующих параметров:
pam_account_expired_message —позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'.
Для того, чтобы это сообщение выдавалось для служб SSH параметру pam_verbosity должно быть присвоено значение 3 (show all messages and debug information).
Пример:pam_account_expired_message = Account expired, please contact help desk.
pam_account_locked_message —позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'. Пример:
pam_account_locked_message = Account locked, please contact help desk.