Срок действия пароля: pam_pwd_expiration_warning и pwd_expiration_warning

Источник информации: Red Hat Traiining. Domain Options: Setting Password Expirations

Общепринято задавать в политике применения паролей срок их действия. После истечения этого срока пароль становится недействительным и должен быть заменен. Сроки действия паролей рассчитываются на контроллере домене. Служба SSSD получает информацию о сроках от доменных служб, и может выдавать соответствующие предупреждения при аутентификации с использованием  PAM-стека.

Включение отображения предупреждений о приближении истечения срока действия пароля осуществляется двумя параметрами конфигурации. Значения этих параметров определяют за какое время (в днях) до истечения срока начать выдавать предупреждения:

• pam_pwd_expiration_warning — параметр задается в секции PAM и определяет глобальное значение, используемое по умолчанию для всех доменов.
• pwd_expiration_warning — параметр задается в секции параметров домена и определяет значение для этого домена. При использовании этого параметра обязательно должен быть указана служба аутентификации домена (authentication provider, задается параметром auth_provider, или, при отсутствии этого параметра, используется значение параметра id_provider).

Если параметры не заданы, то предупреждения не выдаются. Если значение параметра 0, то предупреждения выдаются всегда по мере их получения.

Например:

[sssd]
services = nss,pam
...

[pam]
pam_pwd_expiration_warning = 3
...

[domain/EXAMPLE]
id_provider = ipa
auth_provider = ipa
pwd_expiration_warning = 7

Предупреждения о сроке истечения пароля при беспарольной аутентификации

По умолчанию срок истечения пароля проверяется только при вводе пользователем пароля в процессе аутентификации. Для включения проверки срока истечения пароля при входе без использования пароля (например, в сессии SSH):

1. Параметру access_provider присвоить значение ldap.
2. Добавить параметр ldap_pwd_policy со значением shadow.
3. Добавить параметр ldap_access_orderо с одним из значений:
   1. pwd_expire_policy_reject — отобразить предупреждение и, если срок действия пароля истек, запретить вход;
   2. pwd_expire_policy_warn — отобразить предупреждение и разрешить вход, даже если срок действия пароля истек;
   3. pwd_expire_policy_renew — отобразить предупреждение, и предложить сменить пароль, если его срок действия истек.

Пример:

[domain/EXAMPLE]
access_provider = ldap
ldap_pwd_policy = shadow
ldap_access_order = pwd_expire_policy_warn

Более подробную информацию см. в справочной системе man sssd-ldap(5).

Состояние учетной записи: pam_account_expired_message и pam_account_locked_message

Информацию о состоянии учетной записи можно корректировать с помощью следующих параметров:

• pam_account_expired_message —позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'.
  Для того, чтобы это сообщение выдавалось для служб SSH параметру pam_verbosity должно быть присвоено значение 3 (show all messages and debug information).
  Пример:

  pam_account_expired_message = Account expired, please contact help desk.

• pam_account_locked_message —позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'. Пример:

  pam_account_locked_message = Account locked, please contact help desk.

Срок действия и обновление билетов Kerberos

Срок действия билета Kerberos определяется настройками сервера. Для доменов ALD Pro (FreeIPA) это политика билетов Kerberos (команды CLI ipa krbtpolicy).

Срок действия билетов Kerberos может быть переопределен локально:

• В конфигурации SSSD:

  • Параметр krb5_lifetime. Значение параметра задает срок действия, запрашиваемый при обновлении билета. Значением параметра может быть целое число с единицей измерения (s, m, h, d — для секунд, минут, часов и дней соответственно). Если единица измерения не указана, то используются секунды. Например:

    krb5_lifetime 90m

    Использование этого параметра не включает автоматическое обновление билетов.

  • Параметр krb5_renewable_lifetime. Значение задает запрашиваемый при обновлении билета общий срок действия для обновляемых (renewable) билетов.

    Обновляемые (renewable) билеты Kerberos— билеты, для которых обновление сессии выполняется без выпуска нового билета. Имеют два срока действия: срок действия сессии и общий срок действия. Подробнее см. документацию Kerberos.
• В конфигурации параметров клиента Kerberos (по умолчанию — файл /etc/kr5.conf) —  параметром ticket_lifetime. Значение по умолчанию — 1 день. Подробнее см. документацию Kerberos.

По умолчанию билеты Kerberos автоматически не обновляются. Данное умолчание может быть изменено в конфигурации SSSD параметром krb5_renew_interval в секции параметров домена. Значение этого параметра задает периодичность проверки. Билеты обновляются по истечении половины срока их действия. Значением параметра может быть целое число с единицей измерения (s, m, h, d — для секунд, минут, часов и дней соответственно). Если единица измерения не указана, то используются секунды.

Автоматическое обновление пароля доменного компьютера

Служба sssd может самостоятельно обновлять пароль доменного компьютера. Периодичность такого обновления задается параметром ad_maximum_machine_account_password_age. Значение параметра – возраст пароля в днях. Служба ежедневно проверяет возраст пароля и при превышении указанного значения пытается обновить пароль. По умолчанию значение параметра — 30 дней, значение 0 отменяет обновление.