Справочный центр

Дерево страниц

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 13 Следующий »

Срок действия пароля: pam_pwd_expiration_warning и pwd_expiration_warning

Источник информации: Red Hat Traiining. Domain Options: Setting Password Expirations

Общепринято задавать в политике применения паролей срок их действия. После истечения этого срока пароль становится недействительным и должен быть заменен. Сроки действия паролей рассчитываются на контроллере домене. Служба SSSD получает информацию о сроках от доменных служб, и может выдавать соответствующие предупреждения при аутентификации с использованием  PAM-стека.

Предупреждение о приближении срока истечения пароля всегда должно быть отправлено доменными службами. Если доменные службы не отправляют такое сообщение, то служба SSSD никогда не выдаст предупреждение. Таким образом, настройка службы SSSD может только уменьшить срок выдачи предупреждений пользователю (сообщения будут игнорироваться, если срок истечения больше заданного в настройках службы SSSD), но не может увеличить этот срок (так как сообщения от доменных служб не будут поступать до заданного в домене срока). 

Включение отображения предупреждений о приближении истечения срока действия пароля осуществляется двумя параметрами конфигурации. Значения этих параметров определяют за какое время (в днях) до истечения срока начать выдавать предупреждения:

  • pam_pwd_expiration_warning — параметр задается в секции PAM и определяет глобальное значение, используемое по умолчанию для всех доменов.
  • pwd_expiration_warning — параметр задается в секции параметров домена и определяет значение для этого домена. При использовании этого параметра обязательно должен быть указана служба аутентификации домена (authentication provider, задается параметром auth_provider, или, при отсутствии этого параметра, используется значение параметра id_provider).

Если параметры не заданы, то предупреждения не выдаются. Если значение параметра 0, то предупреждения выдаются всегда по мере их получения.

Например:

[sssd]
services = nss,pam
...

[pam]
pam_pwd_expiration_warning = 3
...

[domain/EXAMPLE]
id_provider = ipa
auth_provider = ipa
pwd_expiration_warning = 7

Предупреждения о сроке истечения пароля при беспарольной аутентификации

По умолчанию срок истечения пароля проверяется только при вводе пользователем пароля в процессе аутентификации. Для включения проверки срока истечения пароля при входе без использования пароля (например, в сессии SSH):

  1. Параметру access_provider присвоить значение ldap.
  2. Добавить параметр ldap_pwd_policy со значением shadow.
  3. Добавить параметр ldap_access_orderо с одним из значений:
    1. pwd_expire_policy_reject — отобразить предупреждение и, если срок действия пароля истек, запретить вход;
    2. pwd_expire_policy_warn — отобразить предупреждение и разрешить вход, даже если срок действия пароля истек;
    3. pwd_expire_policy_renew — отобразить предупреждение, и предложить сменить пароль, если его срок действия истек.

Пример:

[domain/EXAMPLE]
access_provider = ldap
ldap_pwd_policy = shadow
ldap_access_order = pwd_expire_policy_warn

Более подробную информацию см. в справочной системе man sssd-ldap(5).

Состояние учетной записи

Информация об атрибутах учетной записи и об её участии в группах

Обновление кешированной информации об атрибутах учетной записи и об её участии в группах не будет происходить до истечения интервала, заданного параметром memcache_timeout в секции [nss].

Информация об атрибутах учетной записи (в том числе — о метке безопасности учетной записи) доменного пользователя кешируется службой sssd. Срок актуальности кешированной записи определяется значением параметра entry_cache_user_timeout в секции параметров домена. По умолчанию это значение равно значению параметра entry_cache_timeout в секции параметров домена (по умолчанию — 5400 секунд). Все значения могут быть переопределены явным указанием нужных величин в секундах. При этом независимо от указанных значений параметров информация обновляется при входе (login) пользователя, что обеспечивает работу в сессии 

Частота обновления информации об участии учетной записи в группах определяется параметрами entry_cache_group_timeout и entry_cache_netgroup_timeout (секция параметров домена). По умолчанию значения этих параметров также равны значению параметра entry_cache_timeout (секция параметров домена) и также могут быть переопределены явно.

При этом независимо от указанных значений параметров информация об учетной записи обновляется при входе (login) пользователя в эту учетную запись, что обеспечивает работу в сессии с актуальным состоянием учетной записи.

Сообщения об истечении срока действия (pam_account_expired_message) и блокировке (pam_account_locked_message)

Сообщение о состоянии учетной записи всегда должно быть отправлено доменными службами. Если доменные службы не отправляют такое сообщение, то служба SSSD никогда не выдаст предупреждение.

Информацию о состоянии учетной записи можно корректировать с помощью следующих параметров:

  • pam_account_expired_message — позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'.
    Для того, чтобы это сообщение выдавалось для служб SSH параметру pam_verbosity должно быть присвоено значение 3 (show all messages and debug information).
    Пример определения параметра:

    pam_account_expired_message = Account expired, please contact help desk.

  • pam_account_locked_message — позволяет настроить сообщение о блокировке учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'. Пример определения параметра:

    [pam]
pam_account_locked_message = Учетная запись заблокирована

    Пример результата применения параметра:

    sudo login ipauser01
Пароль: 
Permission denied. Сообщение сервера:Учетная запись заблокирована

Срок действия и обновление билетов Kerberos

Срок действия билета Kerberos определяется настройками сервера. Для доменов ALD Pro (FreeIPA) эти настройки определяются в политике билетов Kerberos (команды CLI ipa krbtpolicy).

Срок действия билетов Kerberos не может быть переопределен локально. Локально могут быть определены только периодичность обновления билетов и срок действия билета, запрашиваемый при обновлении:

  • В конфигурации SSSD:

    • Параметр krb5_lifetime. Значение параметра задает срок действия, запрашиваемый при обновлении билета. Значением параметра может быть целое число с единицей измерения (s, m, h, d — для секунд, минут, часов и дней соответственно). Если единица измерения не указана, то используются секунды. Например:

      krb5_lifetime 90m

      Использование этого параметра не включает автоматическое обновление билетов.

    • Параметр krb5_renewable_lifetime. Значение задает запрашиваемый при обновлении билета общий срок действия для обновляемых (renewable) билетов.

      Обновляемые (renewable) билеты Kerberos— билеты, для которых обновление сессии выполняется без выпуска нового билета. Имеют два срока действия: срок действия сессии и общий срок действия. Подробнее см. документацию Kerberos.
  • В конфигурации параметров клиента Kerberos (по умолчанию — файл /etc/kr5.conf) —  параметром ticket_lifetime. Значение по умолчанию — 1 день. Подробнее см. документацию Kerberos.

По умолчанию билеты Kerberos службой sssd автоматически не обновляются. Данное умолчание может быть изменено в конфигурации SSSD параметром krb5_renew_interval в секции параметров домена. Значение этого параметра задает периодичность проверки, при этом билеты по результатам проверки обновляются по истечении половины срока их действия. Значением параметра может быть целое число с единицей измерения (s, m, h, d — для секунд, минут, часов и дней соответственно). Если единица измерения не указана, то используются секунды.

Так как билеты обновляются по истечении половины срока их действия, значение параметра krb5_renew_interval должно быть меньше этой половины. При этом для предотвращения случайных ошибок обновления не рекомендуется устанавливать срок действия билетов менее 10 минут.

Автоматическое обновление пароля доменного компьютера

Служба sssd может самостоятельно обновлять пароль доменного компьютера. Периодичность такого обновления задается параметром ad_maximum_machine_account_password_age. Значение параметра – возраст пароля в днях. Служба ежедневно проверяет возраст пароля и при превышении указанного значения пытается обновить пароль. По умолчанию значение параметра — 30 дней, значение 0 отменяет обновление.